Door de staat gesponsorde GhostWriter APT legt de nadruk op desinformatie
Het is niet ongebruikelijk dat APT-groepen (Advanced Persistent Threat) het politieke belang van een specifieke partij dienen. Hoewel veel van deze organisaties financieel gemotiveerd zijn, zijn er ook groepen zoals GhostWriter wiens specialisatie is het in diskrediet brengen van politieke oppositie, het verspreiden van valse informatie en het veroorzaken van politieke ontwrichting. De eerste campagnes van de GhostWriter-hackers gaan terug tot 2017, maar de activiteit van de groep kwam pas echt op gang rond 2020 toen hun naam werd geassocieerd met tientallen aanvallen op functionarissen in Polen, Letland en Litouwen.
Wat is de GhostWriter APT Modus Operandi?
De criminelen achter deze groep zijn sterk afhankelijk van het gebruik van phishing en malware om gevoelige inloggegevens van hun slachtoffers te verkrijgen. Het eigenaardige is het type accounts waarop ze zich richten - meestal gerelateerd aan contentmanagementsystemen. Door de sociale media-accounts van politici en hoge functionarissen in gevaar te brengen, kunnen de criminelen hun accounts misbruiken om inhoud te verspreiden die de politieke belangen van GhostWriter dient.
In plaats van gloednieuwe inhoud te uploaden naar gecompromitteerde inhoudbeheersystemen, werd vaak waargenomen dat de GhostWriter-hackers eerdere inhoud manipuleerden om valse documenten, valse citaten of verzonnen correspondentie in te voegen.
De groep zou nauwe banden hebben met Rusland, maar het meest waarschijnlijke land van herkomst is Wit-Rusland. Een veelvoorkomend thema bij verklaringen die GhostWriter-hackers vrijgeven via gecompromitteerde accounts, is de Noord-Atlantische Verdragsorganisatie (NAVO) en het is niet verwonderlijk dat ze tot doel hebben de missie en referenties van de organisatie in de getroffen regio's in diskrediet te brengen.
Een andere hint van de banden van GhostWriter met Rusland is hun meest recente campagne, die actief is sinds februari 2022. Deze keer richten de door Rusland gesteunde hackers zich op Oekraïense militaire functionarissen via phishing-e-mails.