Az államilag támogatott GhostWriter APT a dezinformációra helyezi a hangsúlyt
Nem ritka, hogy az Advanced Persistent Threat (APT) csoportok egy adott párt politikai érdekeit szolgálják. Noha ezek közül a szervezetek közül sok általában anyagilag motivált, vannak olyan csoportok is, mint a GhostWriter, amelyek szakterülete a politikai ellenzék hiteltelenítése, hamis információk terjesztése és politikai zavargások előidézése. A GhostWriter hackerek első kampányai 2017-re vezethetők vissza, de a csoport tevékenysége 2020 körül lendült fel igazán, amikor nevükhöz több tucat lengyel, lett és litván tisztviselők elleni támadás társult.
Mi az a GhostWriter APT Modus Operandi?
A csoport mögött álló bűnözők nagymértékben támaszkodnak az adathalászatra és a rosszindulatú programokra, hogy érzékeny bejelentkezési adatokat szerezzenek meg áldozataiktól. A különös része az, hogy milyen típusú fiókokat céloznak meg – többnyire a tartalomkezelő rendszerekhez kapcsolódnak. A politikusok és magas rangú tisztviselők közösségi média fiókjainak kompromittálásával a bűnözők visszaélhetnek fiókjaikkal, és olyan tartalmat terjeszthetnek, amely a GhostWriter politikai érdekeit szolgálja.
Ahelyett, hogy vadonatúj tartalmat töltöttek volna fel a kompromittált tartalomkezelő rendszerekre, a GhostWriter hackereket gyakran megfigyelték, hogy manipulálják a korábbi tartalmat, hogy hamis dokumentumokat, hamis idézeteket vagy kitalált levelezést helyezzenek be.
A csoport vélhetően szoros kapcsolatban áll Oroszországgal, de legvalószínűbb származási országuk Fehéroroszország. A GhostWriter hackerek feltört fiókokon keresztül közzétett nyilatkozatai között gyakori téma az Észak-atlanti Szerződés Szervezete (NATO), és nem meglepő módon céljuk a szervezet küldetésének és megbízatásának hiteltelenítése az érintett régiókban.
Egy másik utalás a GhostWriter oroszországi kapcsolataira a legutóbbi kampányuk, amely 2022 februárja óta aktív. Ezúttal az Oroszország által támogatott hackerek ukrán katonai tisztviselőket céloznak meg adathalász e-mailekkel.