Дзяржаўныя хакеры Ghostwriter нацэліліся на беларускіх актывістаў

Хакерская групоўка Ghostwriter, звязаная з рэжымам Лукашэнкі, вядзе кампанію супраць актывістаў беларускай апазіцыі, украінскіх вайскоўцаў і ўрадавых арганізацый. Пра гэта паведаміла кампанія SentinelLABS, якая займаецца аналізам кіберпагроз, піша reform.news.

Мяркуецца, што група Ghostwriter (таксама вядомая як UNC1151 і UAC-0057) дзейнічае з 2016 года. У 2022-2024 гадах яна рассылала заражаныя Excel-дакументы для дастаўкі шкоднасных загрузнікаў PicassoLoader і Cobalt Strike. Дакументы-прынады тэматычна былі звязаныя з ваеннымі пытаннямі Украіны.

Новая актыўная кампанія групы пачалася ў лістападзе-снежні 2024 года. Цяпер прынады ў Excel-дакументах звязаныя з інтарэсамі беларускай апазіцыі, украінскага войска і ўрада Украіны. у прыватнасці, хакеры рассылаюць Excel-табліцу "Палітвязні (па судах Мінска)". У ёй змяшчаюцца імёны асуджаных па палітычных матывах, артыкулы, рашэнне суда, імёны суддзяў і пракурораў. Звесткі ўзятыя з публічнага доступу з сайта праваабарончага цэнтра "Вясна". Пасля адкрыцця заражанага Excel-дакумента запускаецца шкоднасны макрас.

У атацы, якую прааналізавалі ў SentinelLABS, заражэння не адбылося. У кампаніі мяркуюць, што працэс старанна кантралюецца і заражэнне адбываецца пасля пацверджання профілю карыстальніка (User-Agent браўзэра, IP-адрасу і часу).

У 2022 Google заявіў, што групоўка Ghostwriter мае дачыненне да нападаў на сайты польскіх і ўкраінскіх урадавых і ваенных арганізацый. У 2023 годзе польскае Мінабароны таксама выявіла атаку гэтай беларускай кібергрупоўкі. Тады распаўсюджваліся фальшывыя звесткі пра магчымы набор у літоўска-польска-ўкраінскую брыгаду імя вялікага гетмана Канстанціна Астрожскага.