Ghostwriter (grupo de hackers)

Grupo de hackers bielorruso

Ghostwriter , también conocido como UNC1151 y Storm-0257 por Microsoft, ^[2] es un grupo de hackers supuestamente originario de Bielorrusia . Según la empresa de ciberseguridad Mandiant , el grupo ha difundido desinformación crítica con la OTAN desde al menos 2016. ^[3]

Historia

El nombre Ghostwriter proviene de los primeros ataques del grupo, mediante los cuales robaban credenciales de periodistas o editores y publicaban artículos falsos usando esas credenciales. Por lo tanto, el grupo se convirtió efectivamente en escritores fantasmas no deseados para aquellos con credenciales robadas. ^[4] UNC1151 es un nombre interno de la empresa que Mandiant asigna a grupos no categorizados de "actividad de intrusión cibernética". ^[5]

La Unión Europea ha culpado a este grupo de piratear a funcionarios del gobierno alemán.

El jefe de política exterior de la UE, Josep Borrell, ha amenazado a Rusia con sanciones. ^[6]

Según Serhiy Demedyuk, subsecretario del consejo de defensa y seguridad nacional de Ucrania, el grupo fue responsable de la desfiguración de sitios web del gobierno ucraniano en enero de 2022. ^[7]

En febrero de 2022, The Register informó que un CERT ucraniano había anunciado que el grupo tenía como objetivo "cuentas [de correo electrónico] privadas 'i.ua' y 'meta.ua' de personal militar ucraniano e individuos relacionados" como parte de un ataque de phishing durante el invasión de Ucrania . ^[8] Mandiant dijo que dos dominios mencionados por el CERT, i[.]ua-passport[.]space e id[.]bigmir[.]space eran dominios de comando y control conocidos del grupo. ^[8] Mandiant también dijo: "Podemos vincular la infraestructura reportada por CERT.UA a UNC1151, pero no hemos visto los mensajes de phishing directamente. Sin embargo, UNC1151 ha apuntado ampliamente a Ucrania y especialmente a su ejército durante los últimos dos años, por lo que esto actividad coincide con su patrón histórico." ^{[8] [7]}

Características y técnicas

El grupo ha ejecutado campañas de phishing contra miembros de la prensa legítima para infiltrarse en los sistemas de gestión de contenidos de esas organizaciones. Luego, el grupo utiliza el sistema para publicar sus propias historias falsas. ^[9]

Referencias

1. Satter, Raphael (25 de febrero de 2022). "Ucrania dice que su ejército está siendo atacado por piratas informáticos bielorrusos". Reuters . Consultado el 7 de marzo de 2022 .
2. "Cómo Microsoft nombra a los actores de amenazas". Microsoft . Consultado el 21 de enero de 2024 .
3. "Actualización de Ghostwriter: Grupo de espionaje cibernético UNC1151 probablemente realiza actividad de influencia de Ghostwriter | Mandiant". www.mandiant.com . Consultado el 2 de marzo de 2022 .
4. "Campaña de influencia 'Ghostwriter'" (PDF) . Ojo de fuego . Consultado el 5 de marzo de 2022 .
5. "Atribución de DebUNCing: cómo Mandiant rastrea a los actores de amenazas no categorizados | Mandiant". www.mandiant.com . Consultado el 7 de marzo de 2022 .
6. "La UE amenaza con sanciones a Rusia por 'actividades cibernéticas maliciosas'". euronoticias . 2021-09-24 . Consultado el 24 de septiembre de 2021 .
7. Polityuk, Pavel (16 de enero de 2022). "EXCLUSIVO Ucrania sospecha de un grupo vinculado a la inteligencia de Bielorrusia por un ciberataque". Reuters . Consultado el 7 de marzo de 2022 .
8. Corfield, Gareth (25 de febrero de 2022). "Ucrania busca voluntarios para defender las redes mientras las tropas rusas amenazan a Kiev". El registro . Consultado el 26 de febrero de 2022 .
9. Greenberg, Andy. "Los piratas informáticos irrumpieron en sitios de noticias reales para plantar historias falsas". Cableado . ISSN  1059-1028 . Consultado el 2 de marzo de 2022 .