28 апреля FireEye представила обновленный отчет о кампании, названной Ghostwriter. Путем кибервзломов в течение нескольких лет проводили атаки против отдельных литовских, латвийских и польских политиков, СМИ, пытаясь распространять нарративы против США, НАТО и вообще против Запада. Путем подделки адресов эл. почты провели десятки атак.
Сейчас после дополнительного расследования и новых атак, которые расширяются на Германию, FireEye в своем новом отчете представила аргументированный вывод: нет сомнений в том, что секретная кибероперация Ghostwriter по крайней мере отчасти осуществлялась группировкой UNC1151 – "поддерживаемый государством деятель кибершпионажа". Что это за государство, напрямую не упоминается, но если взглянуть на содержание атак, нарративы, почти нет сомнений в том, что за этом стоит Россия.
Помогли Байдену принять решение
FireEye - это нерядовая компания кибербезопасности в США. Именно она помогла раскрыть виновников самой масштабной кибератаки, когда в прошлом году воспользовались брешью в системе программного обеспечения SolarWinds был совершен масштабный выпад. Кстати, жертвами этого выпада стали не только агентства США, включая Агентство национальной безопасности (АНБ) и Департамент энергетики США, отвечающий за ядерную безопасность, и саму FireEye.
Последняя предупредила правительство США о выпаде и помогла выяснить, что за эту атаку отвечает группировка хакеров APT29, известная как Cozy Bear – часто сил Службы внешней разведки (СВР) РФ.
Поэтому новый документ FireEye оценивают очень серьезно: в подробном отчете на 33 страницах описана последовательность выпадов, основные действующие лица, методы и мишени. В числе последних были как литовские политики, так и порталы – Delfi, Lrytas.lt и TV3.lt.
От "йонавской девочки" до Науседы
Формальным началом операции Ghostwriter считается июль 2016 года, когда на Саммите НАТО в Варшаве появилась информация о том, что НАТО разместит свои силы в странах Балтии. Правда, в тот раз этой вести особое внимание не уделили, не было признаков кибератаки, да и батальоны НАТО все равно разместили в странах Балтии, правда, не на постоянной основе, а по принципу ротации. А в Германии в то время уже разгорелась история "девочки Лизы".
За нее зацепились в ответ на размещение натовских батальонов в странах Балтии: первый фейк - история о якобы изнасилованной 15-летней немецкими военными девочке из Йонавы.
Эту информацию по эл. почте передали и тогдашнему спикеру парламента Литвы Викторасу Пранцкетису, другим депутатам и литовской полиции. Человек, назвавшийся выдуманным именем, сообщил, что 10 февраля в Йонавском районе мужчины в военной форме изнасиловали 15-летнюю девушку. Написавший письмо человек писал, что это сделали немецкие военные.
Пресс-секретарь Пранцкетиса Даля Венцявичене сказала Delfi, что письмо сразу же переслали ответственным ведомствам: Департаменту госбезопасности, Минобороны, МВС, поскольку его содержание вызвало подозрения.
Вскоре выяснилось, что происшествие – выдуманное, само письмо странное, с необычными грамматическими ошибками. Это был первый, но не последний подобный случай. Вскоре появился фейк о командующем немецкого батальона, который якобы является российский шпионом, а позже – о доме, который в Литве забросал бомбами американский бомбардировщик B-52.
Характер атак стал более софистическим: от элементарного монтажа до кибервзломов порталов с размещением фейков. Например, о тогдашнем министре обороны, который якобы приставал к журналисту – глава МО Раймундас Кароблис за время работы несколько раз становился мишенью таких фейков.
Мишенями становились и военные США, которые якобы в Литве насмерть сбили мальчика, вылили в реку Нерис радиоактивные вещества и даже распространяли в Литве коронавирус, и немецкие военные, которые якобы надругались над еврейским кладбищем в каунасском районе Жалякальнис.
Были выпады как против СМИ – порталов KasVykstaKaune и Delfi, так и фейковые письма с выдуманных адресов эл. почты о том, что президент Литвы Гитанас Науседа якобы предложил США перенести в Литву ядерное оружие.
Вредительская сеть переброшена в другие страны
И наконец этот коктейль дезинформации бы переброшен в другие страны. FireEye обращает внимание на подобные атаки в Польше, где в прошлом году взломали личные страницы политиков и СМИ и распространяли фейки. Один из них - об оргиях с участием польских политиков, министра внутренних дел Литвы и проституток.
Как известно, информацией о том, что в Польше Габриэлюс Ландсбергис в феврале пользовался услугами "эскорта" поделилась и представитель "крестьян" Аушрине Норкене, которая сначала сказала, что взломали ее страницу, а потом выяснилось, что ничего такого не было, просто использовалась популярная тактика – с фальшивой почты разослали письма (spoofing) разным адресатам в надежде на то, что они поделятся "сенсацией".
Именно это по словам экспертов и является основной проблемой – не сами фейки, которые часто выглядят как дешевые сенсации, но то, что люди делятся ими, не задумываясь о последствиях. Люди, которые делятся ими могут быть идентифицированы как мишени для других, более серьезных атак, чтобы пробраться к ведомствам, службам, помешать их работе, путем внедрения компьютерные вирусов и других вредоносных программ, которые позволяют не только шпионить, Но и парализовать работу инфраструктуры в важное время.
Кроме того, как отмечает FireEye с начала 2021 года группировка хакеров UNC1151 расширила свою деятельность и стала атаковать немецких политиков. Об этом уже сообщали немецкие СМИ, хотя местное общество реже сталкивается с фейками и меньше склонно винить в фейках Россию.
