Το GhostWriter APT που χρηματοδοτείται από το κράτος δίνει έμφαση στην παραπληροφόρηση
Δεν είναι ασυνήθιστο οι ομάδες Advanced Persistent Threat (APT) να εξυπηρετούν τα πολιτικά συμφέροντα ενός συγκεκριμένου κόμματος. Ενώ πολλοί από αυτούς τους οργανισμούς τείνουν να έχουν οικονομικά κίνητρα, υπάρχουν επίσης ομάδες όπως η GhostWriter των οποίων η εξειδίκευση είναι η απαξίωση της πολιτικής αντιπολίτευσης, η διάδοση ψεύτικων πληροφοριών και η πρόκληση πολιτικής αναταραχής. Οι πρώτες καμπάνιες των χάκερ του GhostWriter χρονολογούνται από το 2017, αλλά η δραστηριότητα της ομάδας επιταχύνθηκε πραγματικά γύρω στο 2020, όταν το όνομά τους συνδέθηκε με δεκάδες επιθέσεις εναντίον αξιωματούχων στην Πολωνία, τη Λετονία και τη Λιθουανία.
Τι είναι το GhostWriter APT Modus Operandi;
Οι εγκληματίες πίσω από αυτήν την ομάδα βασίζονται σε μεγάλο βαθμό στη χρήση phishing και κακόβουλου λογισμικού προκειμένου να αποκτήσουν ευαίσθητα διαπιστευτήρια σύνδεσης από τα θύματά τους. Το περίεργο μέρος είναι ο τύπος των λογαριασμών που στοχεύουν – που σχετίζονται κυρίως με Συστήματα Διαχείρισης Περιεχομένου. Διακυβεύοντας τους λογαριασμούς κοινωνικών μέσων πολιτικών και υψηλόβαθμων αξιωματούχων, οι εγκληματίες μπορούν να κάνουν κατάχρηση των λογαριασμών τους για να διαδώσουν περιεχόμενο που εξυπηρετεί τα πολιτικά συμφέροντα του GhostWriter.
Αντί να ανεβάζουν ολοκαίνουργιο περιεχόμενο σε παραβιασμένα Συστήματα Διαχείρισης Περιεχομένου, παρατηρήθηκε συχνά ότι οι χάκερ του GhostWriter χειραγωγούν προηγούμενο περιεχόμενο προκειμένου να εισαγάγουν πλαστά έγγραφα, ψεύτικα εισαγωγικά ή επινοημένη αλληλογραφία.
Η ομάδα πιστεύεται ότι έχει στενούς δεσμούς με τη Ρωσία, αλλά η πιο πιθανή χώρα καταγωγής τους είναι η Λευκορωσία. Ένα κοινό θέμα μεταξύ των δηλώσεων που δημοσιεύουν οι χάκερ του GhostWriter μέσω παραβιασμένων λογαριασμών είναι ο Οργανισμός Συνθήκης του Βορείου Ατλαντικού (ΝΑΤΟ) και, όπως ήταν αναμενόμενο, στοχεύουν να δυσφημήσουν την αποστολή και τα διαπιστευτήρια του οργανισμού στις πληγείσες περιοχές.
Ένας άλλος υπαινιγμός των δεσμών του GhostWriter με τη Ρωσία είναι η πιο πρόσφατη καμπάνια τους, η οποία είναι ενεργή από τον Φεβρουάριο του 2022. Αυτή τη φορά, οι υποστηριζόμενοι από τη Ρωσία χάκερ στοχεύουν Ουκρανούς στρατιωτικούς μέσω emails phishing.