Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La campagne de Ghostwriter soutenue par UNC1151, alignée avec les intérêts du gouvernement biélorusse

décembre 2021 par Mandiant Threat Intelligence

Mandiant Threat Intelligence estime avec un haut degré de confiance que le groupe UNC1151 est lié au gouvernement biélorusse. Cette évaluation est basée sur des indicateurs techniques et géopolitiques. En avril 2021, Mandiant publiait un rapport public détaillant son évaluation de haute confiance selon laquelle le groupe UNC1151 fournissait un soutien technique à la campagne d’opérations d’influence et de désinformation Ghostwriter. Cette évaluation, ainsi que les contenus des publications observés de Ghostwriter qui sont cohérents avec les intérêts du gouvernement biélorusse, nous amènent à évaluer avec une confiance modérée que la Biélorussie est aussi probablement au moins partiellement responsable de la campagne Ghostwriter. Nous ne pouvons pas exclure une contribution ou un appui russes au groupe UNC1151 ou au campagnes Ghostwriter . Cependant, à l’heure actuelle aucune preuves directes de telles contributions n’ont pas été découvertes.

Les cibles de campanges de cyber espionnage correspondent aux intérêts du gouvernement biélorusse

Le groupe UNC1151 a ciblé une grande variété d’entités gouvernementales et du secteur privé, en particulier en Ukraine, en Lituanie, en Lettonie, en Pologne et en Allemagne. Les cibles incluent également des dissidents, des entités médiatiques et des journalistes biélorusses. Bien que de nombreux services de renseignement s’intéressent à ces pays, le champ d’action spécifique du ciblage est le plus cohérent avec les intérêts Biélorusses. En plus de la portée du ciblage, les opérations du groupe UNC1151 se sont concentrées sur l’obtention d’informations confidentielles et aucun effort de monétisation n’a été découvert.

• Depuis 2016, au minimum, UNC1151 a enregistré des domaines de vol d’identifiants qui usurpent des sites Web légitimes pour voler les identifiants des victimes. En dehors des grandes entreprises américaines qui sont utilisées dans le monde entier (Facebook, Google, Twitter), la plupart des organisations usurpées ont été dans les cinq pays énumérés précédemment. Il s’agit notamment de fournisseurs régionaux de messagerie Web, de gouvernements nationaux et locaux et d’entreprises privées.
• Les intrusions basées sur des logiciels malveillants se sont également concentrées sur l’Europe de l’Est. Plusieurs intrusions importantes dans des entités gouvernementales ukrainiennes ont été menées par UNC1151. Bien que la plupart des activités aient visé l’Ukraine, certaines ont ciblé la Lituanie et la Pologne.
• UNC1151 a ciblé plusieurs entités médiatiques biélorusses et plusieurs membres de l’opposition politique en Biélorussie dans l’année précédant les élections biélorusses de 2020. UNC1151 a ciblé des entités médiatiques en Lituanie, en Pologne, en Ukraine et en Lettonie, mais les chercheurs Mandiant n’ont pas vu de ciblage similaire de dirigeants de l’opposition ou de militants politiques nationaux dans ces pays. En outre, dans plusieurs cas, des personnes ciblées par UNC1151 avant l’élection biélorusse de 2020 ont ensuite été arrêtées par le gouvernement biélorusse.
• Le groupe n’a pas ciblé d’entités étatiques russes ou biélorusses. Il a hameçonné des organisations intergouvernementales traitant avec les anciens États soviétiques, mais pas leurs gouvernements.

Si la majorité des opérations du groupe UNC1151 ont visé des pays voisins de la Biélorussie, une petite minorité a été menée contre des gouvernements sans lien évident avec la Biélorussie. Il existe de multiples explications possibles à ce ciblage, notamment l’inscription fortuite sur des listes de diffusion diplomatiques ou des questions bilatérales non publiques. Cependant, le ciblage qui ne correspond pas directement aux intérêts de la Biélorussie pourrait indiquer que le groupe UNC-1151 soutient également d’autres priorités. Ces opérations hors du champ d’application ont principalement eu lieu entre 2016 et 2019.

• Les domaines historiques UNC1151 ont usurpé les sites Web d’entités telles que le gouvernement de Malte, l’armée koweïtienne, l’armée française et d’autres cibles situées au-delà du voisinage géographique immédiat de la Biélorussie. Des domaines UNC1151 plus récents ont usurpé des entités liées à des cibles hautement prioritaires telles que la Pologne, la Lituanie et l’Ukraine.
• En juin 2019, UNC1151 a envoyé un leurre avec une pièce jointe malveillante à 33 destinataires. Si la majorité d’entre eux étaient situés en Pologne, Lituanie, Lettonie et Ukraine, il a également été envoyé aux gouvernements colombien, irlandais et suisse. En outre, de multiples mails de vol d’informations d’identification ont été envoyés au ministère colombien des Affaires étrangères.

Les preuves techniques indiquent que les opérateurs sont situés à Minsk, et qu’ils sont peut-être liés au gouvernement biélorusse

Des preuves techniques d’origine sensible indiquent que les opérateurs derrière UNC1151 sont probablement situés à Minsk, en Biélorussie. Cette évaluation est fondée sur de multiples sources qui ont établi un lien entre cette activité et des individus situés en Biélorussie. En outre, des preuves techniques distinctes confirment l’existence d’un lien entre les opérateurs à l’origine du projet UNC1151 et l’armée biélorusse. Les preuves de la localisation en Biélorussie et du lien avec l’armée biélorusse ont été directement observées par Mandiant. Ces liens ont été confirmés par des sources distinctes.

Continuité opérationnelle et absence de liens avec les groupes précédemment suivis

Mandiant suit UNC1151 depuis 2017, et pendant cette période, il n’y a pas eu de chevauchement avec d’autres groupes russes suivis, notamment APT28, APT29, Turla, Sandworm et TEMP.Armageddon. Bien que nous ne puissions pas exclure un soutien ou une implication de la Russie dans les opérations d’UNC1151 ou de Ghostwriter, les TTP utilisées par UNC1151 sont uniques à ce groupe.

• L’équipe Sandworm a mené d’importantes opérations de vol d’identité pendant la période où UNC1151 était actif, mais les techniques utilisées étaient différentes. Alors que UNC1151 envoyait principalement des leurres se faisant passer pour des avis de sécurité, l’équipe Sandworm a exploité des attaques de « points d’eau » conçus pour rediriger les utilisateurs vers des sites de connexion usurpés.
• TEMP.Armageddon a ciblé de nombreuses entités ukrainiennes pendant que UNC1151 ciblait activement l’Ukraine. Les deux groupes semblent agir à l’insu l’un de l’autre et ne partagent aucun logiciel malveillant, aucune infrastructure ni aucune autre ressource.
• Nous continuons d’évaluer que l’activité de Ghostwriter est distincte des autres campagnes d’opérations d’influence et de désinformation telles que Secondary Infektion.
• Depuis 2017, les opérations du groupe UNC1151 se sont appuyées sur des TTP évolutives mais contiguës. Cette évolution est cohérente avec la maturation d’une seule organisation, et nous n’avons pas découvert de preuves d’une discontinuité des opérateurs.

Les opérations de Ghostwriter alignées sur des intérêts biélorusses plus étroits depuis mi-2020

Avant 2020, les opérations d’influence et de désinformation de Ghostwriter étaient principalement anti-OTAN, mais depuis la mi-2020, elles se sont concentrées sur les voisins de la Biélorussie.

Depuis la première opération Ghostwriter observée jusqu’à la mi-2020, la campagne Ghostwriter a principalement promu des récits anti-OTAN qui semblaient destinés à saper la coopération régionale en matière de sécurité dans des opérations visant la Lituanie, la Lettonie et la Pologne. À cette fin, les opérations observées ont diffusé de la désinformation décrivant la présence de troupes étrangères dans la région comme une menace pour les résidents et alléguant que les coûts de l’adhésion à l’OTAN sont un préjudice pour les populations locales. L’effet apparemment recherché de ces récits - éroder le soutien régional à l’OTAN - peut servir les intérêts de la Russie et de la Biélorussie. Nous notons toutefois que la campagne a spécifiquement ciblé les publics des pays limitrophes de la Biélorussie, alors que la Russie promeut depuis longtemps des récits anti-OTAN dans la région et au-delà. Plus précisément, les opérations observées de Ghostwriter, au cours de cette période et jusqu’à présent, ont presque entièrement exclu l’Estonie, qui n’a pas de frontière avec la Biélorussie, mais qui est un État balte, membre de l’OTAN, et un élément pertinent de toute préoccupation concernant la posture de sécurité de l’OTAN sur son flanc oriental.

• 22 des 24 opérations Ghostwriter observées, menées avant le milieu de l’année 2020, ont mis en avant des récits directement critiques à l’égard de l’OTAN - y compris des allégations de déploiement d’armes nucléaires, de diffusion du COVID-19 par les troupes de l’OTAN et de crimes commis par les troupes de l’OTAN - ou des critiques à l’égard de la présence de troupes étrangères d’États membres alliés.
• Deux autres opérations menées au cours de cette période ont promu des récits qui semblaient destinés à créer une controverse dans les affaires politiques intérieures lituaniennes.

Depuis les élections contestées d’août 2020 en Biélorussie, les opérations de Ghostwriter sont plus clairement alignées sur les intérêts de Minsk. Les récits promus se sont concentrés sur les allégations de corruption ou de scandale au sein des partis au pouvoir en Lituanie et en Pologne, en tentant de créer des tensions dans les relations polono-lituaniennes et en discréditant l’opposition biélorusse. Les deux gouvernements ont fermement condamné la répression des manifestations et les efforts extraordinaires déployés par le régime de Loukachenko pour rester au pouvoir. En outre, plusieurs opérations de Ghostwriter ont promu des récits spécifiques à la Biélorussie, notamment des récits critiquant le soutien présumé du gouvernement polonais aux dissidents biélorusses. Il est possible que les opérations apparemment destinées à saper la confiance locale dans les gouvernements lituanien et polonais soient une réponse à ce que le Bélarus considère comme leur intervention dans les affaires intérieures bélarusses. De même, les opérations apparemment destinées à créer des tensions entre les deux nations peuvent être une tentative de saper leur coopération, qui a en partie caractérisé leurs réponses aux problèmes liés à la Bélarussie.

• En août 2020, les opérateurs de Ghostwriter ont publié des articles présentant les manifestations en Biélorussie comme orchestrées par les États-Unis et l’OTAN, affirmant que l’OTAN est prête à intervenir militairement au nom des manifestants et soutenant que l’Occident devrait s’abstenir de s’ingérer dans les "affaires intérieures" de la Biélorussie.
• De plus, les opérations de Ghostwriter ont promu des récits qui semblent conçus en partie pour suggérer une ingérence étrangère en Biélorussie, principalement de la Pologne et de la Lituanie.
• Depuis les élections d’août 2020, 16 des 19 opérations de Ghostwriter ont fait la promotion de récits diffamant les gouvernements polonais et lituanien. Sur les trois récits restants, deux critiquaient l’OTAN et un l’UE.
• Certaines opérations visant la Pologne et la Lituanie ont promu des récits liés à des conflits régionaux impliquant la Biélorussie. Par exemple, plusieurs opérations ont prétendu que des accidents s’étaient produits dans des centrales nucléaires lituaniennes. La Lituanie s’est activement opposée à la construction et à l’exploitation de la centrale nucléaire biélorusse d’Astravyets, qui est située près de la frontière lituanienne. De même, en août 2021, une opération Ghostwriter visant la Pologne et la Lituanie a fait la promotion d’un récit sur un crime fabriqué de toutes pièces commis par des migrants, alors que la Pologne et la Lituanie accusaient la Biélorussie d’orchestrer un exode de migrants à partir de ses frontières.
• Nous avons observé une certaine diffusion de ces récits en russe par ce que nous estimons être des moyens de campagne. La promotion des récits de Ghostwriter en russe suggère qu’ils sont, d’une certaine manière, également destinés à influencer les publics russophones.

Les récits des écrivains fantômes, en particulier ceux qui critiquent les gouvernements voisins, ont été présentés à la télévision d’État biélorusse comme des faits. Nous ne sommes pas en mesure de déterminer si cela fait partie d’une stratégie coordonnée ou s’il s’agit simplement de la télévision d’État biélorusse qui promeut des récits conformes aux intérêts du régime et qui ne se soucie pas de l’exactitude. Ces programmes télévisés suggèrent que les récits promus par certaines opérations de Ghostwriter sont particulièrement pertinents pour la conversation politique interne en cours en Biélarussie, et soulèvent la possibilité que le discrédit des gouvernements rivaux et des figures de l’opposition bélarusse aux yeux du public bélarusse puisse être un objectif supplémentaire de la campagne de Ghostwriter.

• Mandiant a observé de nombreux cas de récits de Ghostwriter discréditant le gouvernement polonais, diffusés par la télévision publique biélorusse. Les reportages télévisés ont présenté des communications et des documents du gouvernement polonais qui auraient fait l’objet d’une fuite dans le cadre d’une opération de type "hack-and-leak" lancée par Ghostwriter en juin 2021. Ils ont également mis en évidence des récits que les programmes d’information ont présentés comme documentant le soutien polonais à l’opposition biélorusse. Dans un cas, un reportage télévisé biélorusse a même cité nommément comme source une chaîne Telegram en langue russe qui, selon nous, est un outil de Ghostwriter.
• Ils ont en outre observé que les chaînes Telegram du gouvernement biélorusse reprennent ou citent régulièrement une chaîne Telegram en langue russe qu’ils ont attribuée à Ghostwriter.

Incertitude concernant le développement des logiciels malveillants et le contenu des opérations d’influence

Les sources du contenu écrit pour les opérations de Ghostwriter et des logiciels malveillants utilisés par UNC1151 restent incertaines. La création de contenu pour des opérations d’influence et de désinformation, en particulier en plusieurs langues, requiert des compétences différentes de celles nécessaires pour mener des intrusions informatiques. De même, le développement de logiciels malveillants personnalisés requiert des compétences en ingénierie logicielle distinctes de celles nécessaires à la mise en place d’une opération d’usurpation d’identité. Il est possible que les personnes qui soutiennent ces fonctions fassent partie de la même organisation dont on sait qu’elle a un lien avec la Biélorussie. Cependant, l’incertitude et les compétences distinctes requises pour les différents aspects de cette activité créent la possibilité de l’implication d’autres organisations ou pays.
• Les opérations d’influence de Ghostwriter ont publié des contenus en anglais, lituanien, polonais, letton, ukrainien, russe et allemand.
• Nous avons déterminé que le groupe UNC1151 utilise GoPhish principalement pour ses opérations d’envoi d’e-mails - y compris le cyberespionnage et la diffusion de contenu Ghostwriter. Ils usurpent souvent l’enveloppe de départ des e-mails et utilisaient auparavant des services de livraison d’e-mails tels que SMTP2GO pour se légitimer. Les détails techniques des premières campagnes de UNC1151 suggèrent que le groupe n’était pas familier avec ces technologies et a peut-être appris sur le tas comment les utiliser correctement.
• UNC1151 utilise des domaines de collecte d’informations d’identification qui tentent d’usurper des fournisseurs de messagerie Web légitimes, des pages de connexion génériques et les sites Web légitimes de leurs cibles. Ces domaines de collecte d’informations d’identification sont envoyés aux victimes par le biais d’un e-mail de phishing. Au fil du temps, les TTP d’enregistrement de domaine de l’UNC1151 ont évolué. Les premières TTP d’enregistrement de domaine ressemblaient à des groupes de domaines de collecte d’informations d’identification que nous attribuions à des groupes de menaces russes, mais ne se recoupaient pas techniquement avec eux. Le groupe a notamment cessé d’utiliser Freenom pour se tourner vers les services de Cloudflare, ce qui pourrait refléter l’augmentation des ressources disponibles pour le groupe.
• UNC1151 a utilisé une suite de logiciels malveillants propriétaires, notamment HIDDENVALUE et HALFSHELL, et a rarement été observé en train d’utiliser des outils open source ou publics. Bien que nous ayons observé l’utilisation de ces familles de logiciels malveillants à un stade précoce, nous n’avons pas encore observé d’activité post-compromission.
• UNC1151 a amélioré ses compétences techniques depuis que nous avons commencé à suivre le groupe. Les familles de malwares UNC1151 sont généralement des applications .NET avec des fonctionnalités de commande de base. Nous n’avons constaté aucun chevauchement de code entre ces familles de logiciels malveillants, bien que les commandes prises en charge semblent être similaires à un niveau macro. Nous avons observé des variantes de HIDDENVALUE qui prennent en charge des ensembles de commandes légèrement différents. Avant HIDDENVALUE, qui a été utilisé dans plusieurs opérations différentes visant l’Ukraine et la Pologne, les familles de logiciels malveillants utilisées par UNC1151 ont pu être utilisées pour des ensembles limités d’opérations.

Résumé de l’attribution

Mandiant évalue avec une confiance élevée que le groupe UNC1151 est liée au gouvernement biélorusse et avec une confiance modérée qu’elle est liée à l’armée biélorusse. Cette évaluation est basée sur les facteurs suivants :
• Les pays visés par la majorité des opérations du groupe UNC1151 ont des relations bilatérales tendues avec la Biélorussie. Bien que certains de ces pays soient des cibles régulières du cyberespionnage russe, le mélange spécifique de ces pays confirme l’existence d’un lien avec la Biélorussie.
• Les ministères de la Défense sont les entités gouvernementales les plus souvent visées par UNC1151, ce qui suggère que le groupe se concentre sur le renseignement militaire.
• Les cibles individuelles, y compris les personnes qui font partie de l’opposition et des médias biélorusses, sont les plus intéressantes pour la Biélorussie.
• Des informations techniques sensibles situent l’opération à Minsk, en Biélorussie, et la relient à l’armée biélorusse.
• UNC1151 a mené des opérations sans lien clair et direct avec les priorités biélorusses. Cependant, il s’agit d’une minorité d’opérations et elles s’expliquent de manière plausible par de multiples facteurs.

Mandiant estime avec une confiance élevée que les opérations d’influence et de désinformation de Ghostwriter sont menées à l’appui du gouvernement biélorusse et avec une confiance modérée qu’elles sont menées avec le parrainage de la Biélorussie.

• Les opérations menées depuis les élections biélorusses contestées de 2020 se sont conformées à des objectifs spécifiques du gouvernement biélorusse et s’alignent sur les actions manifestes menées par la Biélorussie contre la Lituanie et la Pologne.
• Les liens techniques étroits entre UNC1151 et la campagne Ghostwriter suggèrent une forte probabilité d’un sponsor commun.
• Cependant, nous manquons d’informations sur la génération du contenu des opérations d’influence.

Mandiant a examiné la possibilité d’une participation russe aux opérations UNC1151 et Ghostwriter, mais ne dispose pas de preuves suffisantes pour confirmer ou infirmer un rôle dans ces activités. Mandiant a constaté des chevauchements importants entre les TTP et les opérations russes, et une grande partie des opérations de ciblage et d’information sont conformes aux objectifs russes. Compte tenu des liens étroits entre les gouvernements, une collaboration est plausible. Cependant, ils n’ont pas découvert de preuves directes de l’implication du gouvernement russe.

• L’accent initial mis par la UNC1151 sur la réputation de l’OTAN dans les pays baltes est également un objectif de la Russie. Cependant, les opérations se concentrent en Lituanie et en Lettonie, qui ont une frontière avec la Biélorussie, et n’ont pas été découvertes en Estonie, qui n’en a pas.
• La Russie dispose d’une importante expertise en matière de cyber-opérations offensives et d’opérations d’influence et de désinformation qui aurait pu soutenir l’opération.

Perspectives et implications

Le sponsor de UNC1151 par la Biélorussie et les liens avec les opérations de Ghostwriter montrent l’accessibilité et la possibilité de nier les opérations de propagandes provocantes. Bien que l’opération de cyber-espionnage ait été axée sur une région et qu’elle ait principalement exploité une plateforme open source pour voler des informations d’identification, elle a pu soutenir des campagnes de désinformation massives. Ces types de cyber-opérations sont l’un des nombreux outils utilisés par les gouvernements pour atteindre leurs objectifs et ne sont jamais utilisés seuls , mais parallèlement à d’autres types d’opérations.


Voir les articles précédents

    

Voir les articles suivants