Фэйкавыя паведамленні былі адпраўленыя многім грамадзянам Польшчы 18 красавіка ў выглядзе SMS-паведамленняў і паведамленняў у тэлеграме, піша Reform.by.
Акрамя таго, ілжывая інфармацыя была адпраўлена па электроннай пошце. Для гэтага зламыснік выкарыстаў толькі што зарэгістраваны дамен mon-gov[.]com.
Прыклады адрасоў адпраўнікоў:
info@mon-gov[.]com
info@mon-gov[.]com
infolinia@mon-gov[.]com
kontakt@mon-gov[.]com
CSIRT-MON (група рэагавання Мінабароны Польшчы на інцыдэнты камп'ютарнай бяспекі) выявіла дадатковыя нядаўна зарэгістраваныя дамены, якія з вялікай верагоднасцю будуць выкарыстоўвацца ў той жа аперацыі.
gov-mon[.]com
government-mon[.]com
mon-government[.]com
Польскія ваенныя эксперты лічаць, што атака мае прыкметы аперацыі на аснове загадзя падрыхтаванай інфармацыйнай базы. У гэты ж час была запушчаная прапагандысцкая кампанія, якая пераконвала ў тым, што брыгада будзе ўдзельнічаць у баявых дзеяннях на тэрыторыі Украіны. Фарміраваннем інфармацыйнага фону займаліся тыя ж крыніцы, якія пастаянна ўдзельнічаюць у расійскіх дэзынфармацыйных аперацыях.
«Гэта яшчэ адзін выпадак, калі праціўнік сумяшчае аперацыі ў інфармацыйна-псіхалагічнай сферы з тэхнічнымі дзеяннямі для выканання пастаўленых задач», — гаворыцца ў справаздачы CSIRT-MON.
Адзначаецца, што атака не кароткатэрміновая і будзе працягнутая.
У Мінабароны Польшчы параўноўваюць выяўленую атаку з аналагічнай акцыяй у студзені 2023 года. Тады зламыснікі, выдаючы сябе за МУС Польшчы, накіравалі грамадзянам краіны лісты, што змяшчаюць ілжывую інфармацыю пра неабходнасць перадачы даных аб грамадзянах Украіны, якія пражываюць на тэрыторыі Польшчы.
Электронныя лісты распаўсюджваліся з паштовых скрынь на наступных даменах, якія кантралююцца зламыснікам:
mswia-gov-pl[.]site
mswia-gov-pl[.]pw
mswia[.]pw
mswia-gov-pl[.]online
mswia-gov[.]pwrmaps
У сакавіку 2023 года была праведзена чарговая дэзынфармацыйная кампанія, якая палягае ў рассыланні электронных лістоў польскім грамадзянам з інфармацыяй пра магчымыя тэракты ў Польшчы.
Паведамленні былі адпраўленыя з паштовых скрынь у даменах, структура якіх прадугледжвае спробу выдаць сябе за паліцыю:
p0licja[.]eu
policja-pl[.]info
p0licja[.]info
p0licja[.]pw
policja.in[.]net
policja[.]pw
policja-pl[.]com
p0licja-pl[.]info
p0licja[.]com
poli-cja[.]com
policia[.]pw
Эксперты CSIRT-MON лічаць, што апісаныя аперацыі па дэзынфармацыі з высокай доляй верагоднасці праводзіліся беларускай групоўкай UNC1151.
На аснове некалькіх гадоў пастаяннага назірання за дзейнасцю групы UNC1151, CSIRT-MON зрабіла хуткую атрыбуцыю ў сувязі з выкарыстаннем TTPs, якое ўпісвалася ў вобраз дзеянняў названага суперніка. Гэта працяг кампаніі дэзынфармацыі пад назвай Ghostwriter.
Кампанія па дэзынфармацыі Ghostwriter пад кіраваннем групы UNC1151 імкнецца:
падарваць двухбаковыя адносіны Польшчы з ЗША і іншымі краінамі НАТА,
парушыць польска-ўкраінскія адносіны,
дыскрэдытаваць дапамогу, аказаную Украіне Польшчай і іншымі краінамі НАТА,
стварыць умовы для сацыяльных хваляванняў сярод польскіх грамадзян,
атрымаць інфармацыю ў разведвальных мэтах, уключаючы інфармацыйна-псіхалагічныя аперацыі,
падтрымаць расійска-беларускія інфармацыйныя аперацыі супраць НАТА.
У Мінабароны Польшчы нагадваюць, што група UNC1151, акрамя правядзення кампаній па дэзынфармацыі, пастаянна ладзіць фішынгавыя кампаніі, звязаныя з крадзяжом уліковых даных для ўваходу ў электронную пошту. Зламыснік таксама ўзломвае вэб-сайты і праводзіць кампаніі, накіраваныя на распаўсюд шкодных праграм. У 2023 годзе CSIRT-MON выявіла дзве спробы дастаўкі шкоднага ПЗ UNC1151 арганізацыям, якія знаходзяцца пад кантролем міністра нацыянальнай абароны.
Пасля расійскага ўварвання ва Украіну CSIRT-MON адзначае значнае ўзмацненне актыўнасці групы UNC1151 супраць Польшчы і Украіны.
