Statsstøttede GhostWriter APT legger vekt på desinformasjon

Det er ikke uvanlig at Advanced Persistent Threat (APT)-grupper tjener et bestemt partis politiske interesser. Mens mange av disse organisasjonene har en tendens til å være økonomisk motiverte, er det også grupper som GhostWriter hvis spesialisering er å diskreditere politisk opposisjon, spre falsk informasjon og forårsake politisk forstyrrelse. GhostWriter-hackernes første kampanjer kan spores tilbake til 2017, men gruppens aktivitet tok virkelig fart rundt 2020 da navnet deres ble assosiert med dusinvis av angrep mot tjenestemenn i Polen, Latvia og Litauen.

Hva er GhostWriter APT Modus Operandi?

Kriminelle bak denne gruppen er sterkt avhengige av å bruke phishing og skadelig programvare for å få sensitiv påloggingsinformasjon fra ofrene sine. Den særegne delen er typen kontoer de retter seg mot – hovedsakelig relatert til innholdsstyringssystemer. Ved å kompromittere de sosiale mediekontoene til politikere og høytstående tjenestemenn, er de kriminelle i stand til å misbruke kontoene sine for å spre innhold som tjener GhostWriters politiske interesser.

I stedet for å laste opp helt nytt innhold til kompromitterte innholdsstyringssystemer, ble GhostWriter-hackere ofte observert å manipulere tidligere innhold for å sette inn falske dokumenter, falske sitater eller oppdiktet korrespondanse.

Gruppen antas å ha nære bånd til Russland, men deres mest sannsynlige opprinnelsesland er Hviterussland. Et vanlig tema blant uttalelser som GhostWriter-hackere slipper via kompromitterte kontoer er North Atlantic Treaty Organization (NATO), og, ikke overraskende, tar de som mål å diskreditere organisasjonens oppdrag og legitimasjon i de berørte regionene.

Et annet hint av GhostWriters bånd til Russland er deres siste kampanje, som har vært aktiv siden februar 2022. Denne gangen retter de Russland-støttede hackerne seg mot ukrainske militærtjenestemenn via phishing-e-post.