До масштабної кібератаки на Україну, за первісною версією, може бути причетна група UNC1151. Деякі тактики, техніки та процедури (дуже нагадують так звану операцію Ghostwriter, яка забезпечується групою UNC1151.
Про це повідомив у коментарі РБК-Україна колишній голова кіберполіції Сергій Демедюк.
"Це кібершпигунська група, афілійована зі спецслужбами Білорусі, яка у своїх атаках використовує інструментарій під назвою credential harvesting (тип атаки, спрямований на несанкціонований доступ до поштових акаунтів) з подальшим поширенням шкідливого програмного забезпечення", – заявив він.
За словами Демедюка, діяльність хакерської групи в першу чергу спрямована на аудиторію в Литві, Латвії, Польщі та Україні та інформаційно мала наратив, який критикував присутність НАТО в Північній Європі.
"У 2021 році ми стали фіксувати, що це угруповання розширило свої наративи і технічні підходи пов'язані з активністю Ghostwriter. Наприклад, кілька останніх операцій група активно використовувала скомпрометовані облікові записи польських чиновників правого напрямку, спрямованого на посилення внутрішньополітичних розбіжностей у Польщі", – додав екс-глава кіберполіції.
За його словами, свої операції хакери проводили переважно в Європі англійською та польською мовами і відрізнялися за своїми векторами, які не були схожі на звичайні дії, що використовувалися Ghostwriter. Наприклад, компрометація державних сайтів, поширення фейкових заяв, пряма дезінформація, використання шкідливого програмного забезпечення, яке часто використовується групою АТР-29, для крадіжки даних з держреєстрів і шифрування їх серверів.
"Такий же інструментарій був використаний і при атаці на державні сайти 14 Січня. А саме аналіз контенту поширеного польською мовою, як і в схожих операціях, що відбувалися в 2021 році вказує, що він створювався виключно з використанням Google-translate", – заявив Демедюк.
При цьому він підкреслив, що в метаданих картинки, яка була завантажена на зламані ресурси, залишилися координати школи в Польщі.
"Очевидно, що цим примітивним методом їм не вдалося ввести нікого в оману, але все ж це свідчення того, що Атакуючі "грали" на польсько-українських взаєминах", – заявив він.
Демедюк заявив, що шкідливе ПЗ, яке використовували для шифрування деяких держсерверів за своїми характеристиками схоже на те, що використовує угруповання APT29.
"В Україні їх традиційно цікавить зовнішньополітичне відомство, правоохоронні органи. Наразі рано робити якісь остаточні висновки. Так само не варто виключати з підозр групу Sandworm, адже деструктивні заходи – це їх улюблений метод досягнення мети, – додав екс-глава кіберполіції.
Він також не виключив необхідність перевірки фактів можливого об'єднання хакерських груп для атак проти України.
"Це і залишається з'ясувати під час розслідування п'ятничної атаки, яке проводять правоохоронні та спеціальні органи України", – додав Демедюк.
Нагадаємо, в ніч на 14 січня була здійснена найбільша за чотири роки кібератака на Україну, вона "поклала" ряд урядових сайтів, а також портал державних послуг "дія".
Служба безпеки України заявила, що є ознаки причетності спецслужб Росії до цієї кібератаки.
