Statssponsrade GhostWriter APT betonar desinformation

Det är inte ovanligt att Advanced Persistent Threat-grupper (APT) tjänar ett specifikt partis politiska intressen. Även om många av dessa organisationer tenderar att vara ekonomiskt motiverade, finns det också grupper som GhostWriter vars specialisering är att misskreditera politisk opposition, sprida falsk information och orsaka politiska störningar. GhostWriter-hackarnas första kampanjer kan spåras tillbaka till 2017, men gruppens aktivitet tog verkligen fart runt 2020 när deras namn associerades med dussintals attacker mot tjänstemän i Polen, Lettland och Litauen.

Vad är GhostWriter APT Modus Operandi?

Brottslingarna bakom denna grupp förlitar sig starkt på att använda nätfiske och skadlig programvara för att få känsliga inloggningsuppgifter från sina offer. Den märkliga delen är din typ av konton de riktar sig till – mestadels relaterade till Content Management Systems. Genom att äventyra politikers och högt uppsatta tjänstemäns konton i sociala medier kan brottslingarna missbruka sina konton för att sprida innehåll som tjänar GhostWriters politiska intressen.

Istället för att ladda upp helt nytt innehåll till komprometterade innehållshanteringssystem observerades GhostWriter-hackarna ofta manipulera tidigare innehåll för att infoga falska dokument, falska citat eller påhittad korrespondens.

Gruppen tros ha nära band till Ryssland, men deras mest troliga ursprungsland är Vitryssland. Ett vanligt tema bland uttalanden som GhostWriter-hackare släpper via komprometterade konton är North Atlantic Treaty Organisation (NATO) och, föga överraskande, strävar de efter att misskreditera organisationens uppdrag och meriter i de drabbade regionerna.

En annan antydan om GhostWriters band till Ryssland är deras senaste kampanj, som har varit aktiv sedan februari 2022. Den här gången riktar sig de Rysslandsstödda hackarna mot ukrainska militärtjänstemän via nätfiske-e-post.