Хакеры из Беларуси - начальная версия. Демедюк рассказал, кто может стоять за кибератакой на Украину

"Это кибершпионская группа, аффилированная со спецслужбами Белоруси, которая в своих атаках использует инструментарий под названием credential harvesting (тип атаки, направленный на несанкционированный доступ к почтовым аккаунтам) с последующим распространением вредоносного программного обеспечения", - заявил он.

По словам Демедюка, деятельность хакерской группы в первую очередь направлена на аудиторию в Литве, Латвии, Польше и Украине и информационно имела нарратив, критиковавший присутствие НАТО в Северной Европе.

"В 2021 году мы стали фиксировать, что эта группировка расширила свои нарративы и технические подходы связанные с активностью Ghostwriter. Например, несколько последних операций группа активно использовала скомпрометированные учетные записи польских чиновников правого направления, направленного на усиление внутриполитических разногласий в Польше", - добавил экс-глава Киберполиции.

По его словам, свои операции хакеры проводили преимущественно в Европе на английском и польском языках и отличались по своим векторам, которые не были похожи на обычные действия, использовавшиеся Ghostwriter. К примеру, компрометация государственных сайтов, распространение фейковых заявлений, прямая дезинформация, использование вредоносного программного обеспечение, которое часто используется группой АPT-29, для кражи данных с госреестров и шифрования их серверов.

"Такой же инструментарий был использован и при атаке на государственные сайты 14 января. А именно анализ контента распространенного на польском языке, как и в похожих операциях, совершавшихся в 2021 году указывает, что он создавался исключительно с использованием Google-translate", - заявил Демедюк.

При этом он подчеркнул, что в метаданных картинки, которая была загружена на взломанные ресурсы, остались координаты школы в Польше.

"Очевидно, что этим примитивным методом им не удалось ввести никого в заблуждение, но все же это свидетельство того, что атакующие "играли" на польско-украинских взаимоотношениях", - заявил он.

Демедюк заявил, что вредоносное ПО, которое использовали для шифрования некоторых госсерверов по своим характеристикам похоже на то, что использует группировка APT-29.

"В Украине их традиционно интересует внешнеполитическое ведомство, правоохранительные органы. В данный момент рано делать какие-то окончательные выводы. Так же не стоит исключать из подозрений группу Sandworm, ведь деструктивные мероприятия - это их любимый метод достижения цели, - добавил экс-глава Киберполиции.

Он также не исключил необходимость проверки фактов возможного объединения хакерских групп для атак против Украины.

"Это и остается выяснить во время расследования пятничной атаки, которое проводят правоохранительные и специальные органы Украины", - добавил Демедюк.