28 апреля FireEye представила обновленный отчет о кампании, названной Ghostwriter. Путем кибервзломов в течение нескольких лет проводили атаки против отдельных литовских, латвийских и польских политиков, СМИ, пытаясь распространять нарративы против США, НАТО и вообще против Запада. Путем подделки адресов эл. почты провели десятки атак.

Сейчас после дополнительного расследования и новых атак, которые расширяются на Германию, FireEye в своем новом отчете представила аргументированный вывод: нет сомнений в том, что секретная кибероперация Ghostwriter по крайней мере отчасти осуществлялась группировкой UNC1151 – "поддерживаемый государством деятель кибершпионажа". Что это за государство, напрямую не упоминается, но если взглянуть на содержание атак, нарративы, почти нет сомнений в том, что за этом стоит Россия.

Помогли Байдену принять решение

FireEye - это нерядовая компания кибербезопасности в США. Именно она помогла раскрыть виновников самой масштабной кибератаки, когда в прошлом году воспользовались брешью в системе программного обеспечения SolarWinds был совершен масштабный выпад. Кстати, жертвами этого выпада стали не только агентства США, включая Агентство национальной безопасности (АНБ) и Департамент энергетики США, отвечающий за ядерную безопасность, и саму FireEye.

Последняя предупредила правительство США о выпаде и помогла выяснить, что за эту атаку отвечает группировка хакеров APT29, известная как Cozy Bear – часто сил Службы внешней разведки (СВР) РФ.

И именно поэтому США в этом году ввели ряд санкций в отношении России, которые взбесили Кремль и заставили заговорить о новой холодной войне а напряжение и дипломатический кризис между Западом и Россией ста лишь увеличиваться.

Поэтому новый документ FireEye оценивают очень серьезно: в подробном отчете на 33 страницах описана последовательность выпадов, основные действующие лица, методы и мишени. В числе последних были как литовские политики, так и порталы – Delfi, Lrytas.lt и TV3.lt.

От "йонавской девочки" до Науседы

Формальным началом операции Ghostwriter считается июль 2016 года, когда на Саммите НАТО в Варшаве появилась информация о том, что НАТО разместит свои силы в странах Балтии. Правда, в тот раз этой вести особое внимание не уделили, не было признаков кибератаки, да и батальоны НАТО все равно разместили в странах Балтии, правда, не на постоянной основе, а по принципу ротации. А в Германии в то время уже разгорелась история "девочки Лизы".

За нее зацепились в ответ на размещение натовских батальонов в странах Балтии: первый фейк - история о якобы изнасилованной 15-летней немецкими военными девочке из Йонавы.

Melagienų pradžia apie neva išprievartautą mergaitę
Foto: KAM

Эту информацию по эл. почте передали и тогдашнему спикеру парламента Литвы Викторасу Пранцкетису, другим депутатам и литовской полиции. Человек, назвавшийся выдуманным именем, сообщил, что 10 февраля в Йонавском районе мужчины в военной форме изнасиловали 15-летнюю девушку. Написавший письмо человек писал, что это сделали немецкие военные.

Пресс-секретарь Пранцкетиса Даля Венцявичене сказала Delfi, что письмо сразу же переслали ответственным ведомствам: Департаменту госбезопасности, Минобороны, МВС, поскольку его содержание вызвало подозрения.

Вскоре выяснилось, что происшествие – выдуманное, само письмо странное, с необычными грамматическими ошибками. Это был первый, но не последний подобный случай. Вскоре появился фейк о командующем немецкого батальона, который якобы является российский шпионом, а позже – о доме, который в Литве забросал бомбами американский бомбардировщик B-52.

Melagingas pranešimas apie bombą
Foto: DELFI

Характер атак стал более софистическим: от элементарного монтажа до кибервзломов порталов с размещением фейков. Например, о тогдашнем министре обороны, который якобы приставал к журналисту – глава МО Раймундас Кароблис за время работы несколько раз становился мишенью таких фейков.

Мишенями становились и военные США, которые якобы в Литве насмерть сбили мальчика, вылили в реку Нерис радиоактивные вещества и даже распространяли в Литве коронавирус, и немецкие военные, которые якобы надругались над еврейским кладбищем в каунасском районе Жалякальнис.

Были выпады как против СМИ – порталов KasVykstaKaune и Delfi, так и фейковые письма с выдуманных адресов эл. почты о том, что президент Литвы Гитанас Науседа якобы предложил США перенести в Литву ядерное оружие.

Melagingos naujienos turinys

Вредительская сеть переброшена в другие страны

И наконец этот коктейль дезинформации бы переброшен в другие страны. FireEye обращает внимание на подобные атаки в Польше, где в прошлом году взломали личные страницы политиков и СМИ и распространяли фейки. Один из них - об оргиях с участием польских политиков, министра внутренних дел Литвы и проституток.

Как известно, информацией о том, что в Польше Габриэлюс Ландсбергис в феврале пользовался услугами "эскорта" поделилась и представитель "крестьян" Аушрине Норкене, которая сначала сказала, что взломали ее страницу, а потом выяснилось, что ничего такого не было, просто использовалась популярная тактика – с фальшивой почты разослали письма (spoofing) разным адресатам в надежде на то, что они поделятся "сенсацией".

Именно это по словам экспертов и является основной проблемой – не сами фейки, которые часто выглядят как дешевые сенсации, но то, что люди делятся ими, не задумываясь о последствиях. Люди, которые делятся ими могут быть идентифицированы как мишени для других, более серьезных атак, чтобы пробраться к ведомствам, службам, помешать их работе, путем внедрения компьютерные вирусов и других вредоносных программ, которые позволяют не только шпионить, Но и парализовать работу инфраструктуры в важное время.

Melagienos kūrėjų sumontuota nuotrauka apie neva nutrenktą berniuką
Foto: Twitter nuotr.

Кроме того, как отмечает FireEye с начала 2021 года группировка хакеров UNC1151 расширила свою деятельность и стала атаковать немецких политиков. Об этом уже сообщали немецкие СМИ, хотя местное общество реже сталкивается с фейками и меньше склонно винить в фейках Россию.

Теперь самые свежие новости о Литве можно прочитать и на Телеграм-канале Ru.Delfi.lt! Подписывайтесь оставайтесь в курсе происходящего!