Sponsorowany przez państwo GhostWriter APT kładzie nacisk na dezinformację

Nierzadko zdarza się, że grupy Advanced Persistent Threat (APT) służą interesom politycznym określonej partii. Podczas gdy wiele z tych organizacji jest zmotywowanych finansowo, istnieją również grupy takie jak GhostWriter, których specjalizacja polega na dyskredytowaniu opozycji politycznej, rozpowszechnianiu fałszywych informacji i powodowaniu zakłóceń politycznych. Pierwsze kampanie hakerów GhostWriter sięgają 2017 roku, ale działalność grupy naprawdę nabrała tempa około 2020 roku, kiedy ich nazwa kojarzyła się z dziesiątkami ataków na urzędników w Polsce, Łotwie i Litwie.

Co to jest GhostWriter APT Modus Operandi?

Przestępcy stojący za tą grupą w dużej mierze polegają na phishingu i złośliwym oprogramowaniu w celu uzyskania poufnych danych logowania od swoich ofiar. Osobliwością jest typ kont, na które są kierowane – głównie związane z systemami zarządzania treścią. Włamując się na konta w mediach społecznościowych polityków i wysokich rangą urzędników, przestępcy mogą nadużywać swoich kont w celu rozpowszechniania treści, które służą politycznym interesom GhostWriter.

Zamiast przesyłać zupełnie nowe treści do zhakowanych systemów zarządzania treścią, hakerzy GhostWriter często manipulowali poprzednią treścią w celu umieszczania fałszywych dokumentów, fałszywych cytatów lub zmyślonej korespondencji.

Uważa się, że grupa ta ma bliskie związki z Rosją, ale ich najbardziej prawdopodobnym krajem pochodzenia jest Białoruś. Częstym tematem wśród oświadczeń, które hakerzy GhostWriter publikują za pośrednictwem zhakowanych kont, jest Organizacja Traktatu Północnoatlantyckiego (NATO) i, jak można się spodziewać, mają na celu zdyskredytowanie misji i referencji organizacji w dotkniętych regionach.

Kolejną oznaką powiązań GhostWritera z Rosją jest ich najnowsza kampania, która trwa od lutego 2022 roku. Tym razem hakerzy wspierani przez Rosję atakują ukraińskich urzędników wojskowych za pośrednictwem wiadomości phishingowych.