UCRAINA. UNC1151 ha cyberattaccato Kiev

159

Tra il 13 e il 14 gennaio, i siti del governo ucraino sono stati colpiti da un massiccio attacco informatico che ha bloccato una i siti governativi base. Tra di loro c’erano il ministero degli Affari Esteri, il ministero degli Affari veterani, il servizio di Emergenza dello Stato, il Gabinetto dei Ministri, il ministero dell’Energia e il ministero dell’Educazione e della Scienza, così come Diia, il sito di e-governance dell’Ucraina e l’applicazione che permette agli ucraini di accedere ai loro documenti digitali come passaporti e patenti di guida.

L’ipotesi generale è stat che dietro l’attacco ci fossero hacker russi; ma sembra che l’attacco abbia avuto origine in Bielorussia e che gli hacker abbiano avuto accesso ai codici di amministrazione di una società privata che ha costruito la maggior parte dei siti. Stando a Reuters, l’Ucraina ha accusato il gruppo UNC1151.

Stando a BneIntellinews, nel 2017, la società Mandiant Threat Intelligence ha iniziato a tracciare l’attività di un gruppo di hacker designato come UNC1151 collegato nel 2021, al governo bielorusso e all’operazione informativa Ghostwriter del 2020.

Mandiant sostiene che UNC1151 ha operato furti di credenziali almeno dal 2016, su Facebook, Google, Twitter, ma anche su siti web ucraini, lituani, lettoni, polacchi e tedeschi. Il gruppo ha anche eseguito sia intrusioni basate su malware nei paesi dell’Europa orientale, che molteplici intrusioni mirate all’Ucraina, e alcune mirate a Lituania e Polonia. La portata geografica dell’obiettivo del gruppo si allinea con gli interessi di sicurezza geopolitica bielorussa e russa, e durante il 2020 si è allineato ancora di più con gli interessi del regime bielorusso.

Secondo Mandiant, gli operatori di UNC1151 sono probabilmente situati a Minsk, in Bielorussia e ci sarebbe un legame tra gli operatori UNC1151 e i militari bielorussi.

Tuttavia, Mandiant non ha scoperto prove dirette del coinvolgimento del governo russo nelle operazioni UNC1151. Mandiant nota che ci sono «molteplici spiegazioni possibili per questo targeting, tra cui l’inclusione accidentale nelle mailing list diplomatiche, o questioni bilaterali non pubbliche. Tuttavia, il targeting che non si allinea direttamente agli interessi bielorussi potrebbe indicare che UNC1151 sostiene anche altre priorità».

Mandiant dice che UNC1151 è collegato alla grande operazione informativa “Ghostwriter” del 2020, che ha preso di mira la Nato. Questa operazione di informazione è stata eseguita a differenza delle precedenti, in quanto non si è diffusa attraverso i social network, ma invece ha utilizzato sistemi di gestione dei contenuti compromessi di siti web di notizie o account di posta elettronica falsi al fine di diffondere la disinformazione.

Nel novembre 2021, il servizio di sicurezza bielorusso Kgb è stato accusato da Meta di aver organizzato una campagna di disinformazione online in relazione alla crisi dei migranti tra Bielorussia e Ue. Meta ha detto che aveva identificato e rimosso 41 account Facebook, quattro account Instagram e cinque gruppi Facebook legati al Kgb. Meta ha detto che questi account hanno usato la tecnologia “deepfake” per creare immagini di profilo convincenti e hanno postato critiche alla gestione della situazione dei migranti da parte della Polonia in inglese, polacco e curdo.

Anna Lotti