Она заключается в распространении сообщений о возможном наборе в Литовско-польско-украинскую бригаду имени Великого гетмана Константина Острожского, говорится в отчете Минобороны Польши.
Фейковые сообщения были отправлены многим гражданам Польши 18 апреля в виде SMS-сообщений и сообщений в Telegram.
Кроме того, ложная информация была отправлена по электронной почте. Для этого злоумышленник использовал только что зарегистрированный домен mon-gov[.]com.
Примеры адресов отправителей:
- info@mon-gov[.]com
- info@mon-gov[.]com
- infolinia@mon-gov[.]com
- kontakt@mon-gov[.]com
CSIRT-MON (группа реагирования Минобороны Польши на инциденты компьютерной безопасности) выявила дополнительные недавно зарегистрированные домены, которые с большой вероятностью будут использоваться в той же операции.
- gov-mon[.]com
- government-mon[.]com
- mon-government[.]com
Польские военные эксперты считают, что атака имеет признаки операции на основе заранее подготовленной информационной базы. В это же время была запущена пропагандистская кампания, которая убеждала в том, что бригада будет участвовать в боевых действиях на территории Украины. Формированием информационного фона занимались те же источники, которые постоянно участвуют в российских дезинформационных операциях.
«Это еще один случай, когда противник совмещает операции в информационно-психологической сфере с техническими действиями для выполнения поставленных задач», — говорится в отчете CSIRT-MON.
Отмечается, что атака не является краткосрочной и будет продолжена.
В Минобороны Польши сравнивают выявленную атаку с аналогичной акцией в январе 2023 года. Тогда злоумышленники, выдавая себя за МВД Польши, направили гражданам страны письма, содержащие ложную информацию о необходимости предоставления данных о гражданах Украины, проживающих на территории Польши.
Электронные письма распространялись с почтовых ящиков на следующих доменах, контролируемых злоумышленником:
- mswia-gov-pl[.]site
- mswia-gov-pl[.]pw
- mswia[.]pw
- mswia-gov-pl[.]online
- mswia-gov[.]pw
В марте 2023 года была проведена очередная дезинформационная кампания, заключающаяся в рассылке электронных писем польским гражданам с информацией о возможных терактах в Польше.
Эксперты CSIRT-MON считают, что описанные операции по дезинформации с высокой долей вероятности проводились беларусской группировкой UNC1151.
На основе нескольких лет постоянного наблюдения за деятельностью группы UNC1151, CSIRT-MON сделала быструю атрибуцию в связи с использованием TTPs, которые вписывались в образ действий указанного противника. Это продолжение кампании по дезинформации под названием «Ghostwriter».
Кампания по дезинформации «Ghostwriter» под управлением группы UNC1151 стремится:
- подорвать двусторонние отношения Польши с США и другими странами НАТО,
- нарушить польско-украинские отношения,
- дискредитировать помощь, оказанную Украине Польшей и другими странами НАТО,
- создать условия для социальных волнений среди польских граждан,
- получить информацию в разведывательных целях, в том числе информационно-психологических операций,
- поддержать российско-беларусские информационные операции против НАТО.
В Минобороны Польши напоминают, что группа UNC1151, помимо проведения кампаний по дезинформации, постоянно проводит фишинговые кампании, связанные с кражей учетных данных для входа в электронную почту. Злоумышленник также взламывает веб-сайты и проводит кампании, направленные на распространение вредоносных программ. В 2023 году CSIRT-MON выявила две попытки доставки вредоносного ПО UNC1151 организациям, находящимся под контролем министра национальной обороны.
После российского вторжения в Украину CSIRT-MON отмечает значительное усиление активности группы UNC1151 против Польши и Украины.
Добро пожаловать в реальность!