El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido sobre piratas informáticos patrocinados por el estado de Bielorrusia que apuntan a su personal militar y personas relacionadas como parte de una campaña de phishing montada en medio de la invasión militar del país por parte de Rusia.
«Masa correos electrónicos de phishing recientemente se han observado ataques dirigidos a cuentas privadas ‘i.ua’ y ‘meta.ua’ del personal militar ucraniano y personas relacionadas», el CERT-UA dijo. «Después de que la cuenta se ve comprometida, los atacantes, mediante el protocolo IMAP, obtienen acceso a todos los mensajes».
Posteriormente, los ataques aprovechan la información de contacto almacenada en la libreta de direcciones de la víctima para propagar los mensajes de phishing a otros objetivos.
El gobierno ucraniano atribuyó las actividades a un actor de amenazas rastreado como UNC1151, un grupo con sede en Minsk cuyos «miembros son funcionarios del Ministerio de Defensa de la República de Bielorrusia». en un seguimiento actualizarla agencia dijo que el grupo de estado-nación también apunta a sus propios ciudadanos, al mismo tiempo que pone su mirada en las entidades rusas:
- Asociación de Bielorrusos del Mundo (Unión Social Internacional)
- Festival de Música de Bielorrusia
- Samara Oblasna Organización Pública «Fraternidad Ruso-Bielorrusa 2000»
- Dzêâslov, una revista literaria bielorrusa
- Bielorrusia soviética ( Sovetskaya Belorussiya ), un diario en Bielorrusia
- Empleados de la Academia Nacional de la República de Kazajstán, y
- Voice of the Motherland, un periódico local en Bielorrusia
UNC1151 es el Apodo asignado por Mandiant a un grupo de amenazas sin clasificar, que opera con objetivos que están alineados con los intereses del gobierno bielorruso. Se cree que el grupo de piratería ha estado activo desde al menos 2016.
«UNC1151 se ha dirigido a una amplia variedad de entidades gubernamentales y del sector privado, con un enfoque en Ucrania, Lituania, Letonia, Polonia y Alemania», dijeron los investigadores de Mandiant en un informe de noviembre de 2021. «El objetivo también incluye a disidentes bielorrusos, entidades de medios y periodistas».
El grupo de ciberespionaje respaldado por el estado también se ha relacionado con la campaña de desinformación Ghostwriter que promulgó narrativas contra la OTAN y con temas de corrupción dirigidas a Lituania, Letonia y Polonia con el objetivo probable de socavar a los gobiernos y crear tensiones en la región.
Es más, se cree que los ataques de desfiguración de enero de varios sitios web del gobierno ucraniano con mensajes amenazantes también son obra de UNC1151.
Los grupos de piratería toman partido
El desarrollo sigue a un aluvión de borradores de datos y ataques de denegación de servicio distribuido (DDoS) contra agencias gubernamentales ucranianas, incluso cuando varios grupos de piratería y sindicatos de ransomware están capitalizando el caos para tomar partido y promover sus actividades.
«Los Colectivo anónimo está oficialmente en guerra cibernética contra el gobierno ruso», el grupo hacktivista descentralizado tuiteó, agregando «filtró la base de datos del sitio web del Ministerio de Defensa ruso».
Otro grupo que ha declarado su lealtad a Ucrania es el grupo de vigilantes conocido como fantasma (abreviatura de Ghost Security), que Anunciado había inundado los sitios web militares rusos con ataques DDoS «en apoyo al pueblo de Ucrania».
El cártel de ransomware Conti, que recientemente absorbió el troyano TrickBot ahora cerrado, reunido su «pleno apoyo» al gobierno ruso, amenazando con «contraatacar las infraestructuras críticas de un enemigo» si «alguien decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia».
El grupo, sin embargo, más tarde reformulado su declaración para afirmar que «no nos aliamos con ningún gobierno y condenamos la guerra en curso». Pero Conti Team también sostuvo que «utilizará toda su capacidad para aplicar medidas de represalia en caso de que los belicistas occidentales intenten atacar infraestructura crítica en Rusia o cualquier región del mundo de habla rusa».
Otras entidades de piratería para declarar lealtad a Rusia son el RedBanditsRU grupo de ciberdelincuencia y el menos conocido Proyecto Cooming programa ransomware, que se comprometió a «ayudar al gobierno ruso en caso de ciberataques y conductas contra Rusia».