Заместитель секретаря Совета нацбезопасности и обороны Украины Сергей Демедюк заявил, что за кибератакой на сайты украинских министерств стоят хакеры из группировки UNC1151, которая связана с разведслужбами Беларуси.
«Эта группировка занимается кибершпионажем и связана со спецслужбами Республики Беларусь. Произошедшие атаки были прикрытием для более деструктивных действий, которые происходят вне поля общественного зрения», – сказал Демедюк в интервью агентству Reuters.
Напомним, что атака на сайты украинских министерств и ведомств произошла 14 января. На главных страницах сайтов была размещена заглушка на русском, польском и украинском языках, в которой сообщалось, что все личные данные того, кто зашел на этот сайт, «загружены в общую сеть», а данные на компьютере «уничтожаются, восстановить их невозможно».
Позже сообщил в комментарии РБК-Украина бывший глава Киберполиции Сергей Демедюк уточнил, что эта кибершпионская группа, аффилированная со спецслужбами Белоруси, в своих атаках использует инструментарий под названием credential harvesting (тип атаки, направленный на несанкционированный доступ к почтовым аккаунтам) с последующим распространением вредоносного программного обеспечения”, – заявил он.
По словам Демедюка, деятельность хакерской группы в первую очередь направлена на аудиторию в Литве, Латвии, Польше и Украине и информационно имела нарратив, критиковавший присутствие НАТО в Северной Европе.
По его словам, свои операции хакеры проводили преимущественно в Европе на английском и польском языках и отличались по своим векторам, которые не были похожи на обычные действия, использовавшиеся Ghostwriter. К примеру, компрометация государственных сайтов, распространение фейковых заявлений, прямая дезинформация, использование вредоносного программного обеспечение, которое часто используется группой АPT-29, для кражи данных с госреестров и шифрования их серверов.
“Такой же инструментарий был использован и при атаке на государственные сайты 14 января. А именно анализ контента распространенного на польском языке, как и в похожих операциях, совершавшихся в 2021 году указывает, что он создавался исключительно с использованием Google-translate”, – заявил Демедюк.