【安全资讯】研究人员将UNC1151组织归因于白俄罗斯

引言

Ghostwriter行动针对欧盟知名官员、记者和公众，访问计算机系统和个人账户从而窃取数据，该活动背后的攻击者是UNC1151组织。此前，欧盟曾将“Ghostwriter”黑客活动归因于俄罗斯。11月16日，研究人员发表公开报告，以高置信度评估UNC1151组织和Ghostwriter活动与白俄罗斯政府有关。

简况

UNC1151组织的重点攻击目标是乌克兰、立陶宛、拉脱维亚、波兰和德国的政府和私营部门实体，以及白俄罗斯持不同政见者、媒体实体和记者。UNC1151组织还专注于获取机密信息，并未发现其出于经济动机的活动。UNC1151组织目标的地理分布如下图：

至少从 2016 年开始，UNC1151组织就注册了凭证盗窃域，从而窃取受害者的凭证。大多数被欺骗的组织都位于乌克兰、立陶宛、拉脱维亚、波兰和德国，包括区域网络邮件提供商、国家和地方政府以及私营企业。UNC1151组织基于恶意软件的入侵也集中在东欧，针对乌克兰政府实体、立陶宛和波兰进行了多次重大入侵。

UNC1151组织在 2020 年白俄罗斯大选前一年的攻击目标包括白俄罗斯的多个媒体实体和几名政治反对派成员。此外，在一些案例中，在 2020 年白俄罗斯大选之前，UNC1151 所针对的个人后来被白俄罗斯政府逮捕。该组织的攻击不针对白俄罗斯或俄罗斯国家实体。

UNC1151 背后的运营商很可能位于白俄罗斯明斯克。研究人员也已经发现了 UNC1151 组织与白俄罗斯军方之间的联系。自 2017 年以来，UNC1151 操作利用了不断变化但连续的 TTP，与其他被跟踪的俄罗斯组织不存在重叠。虽然研究人员不能排除俄罗斯对 UNC1151 或 Ghostwriter活动的支持，但研究人员并没有发现俄罗斯政府参与的直接证据。

2020 年之前，Ghostwriter行动的目标主要是北约，但自 2020 年年中以来，其行动的重点目标是白俄罗斯的邻国。Ghostwriter行动攻击目标如下图：

归因

研究人员以高置信度评估 UNC1151 与白俄罗斯政府有关，中等置信度评估该组织与白俄罗斯军方有关，具体原因包括：

• 大多数UNC1151行动所针对的国家与白俄罗斯的双边关系紧张。
• 国防部是 UNC1151 最常见的政府实体目标，表明该组织对军事情报的重点关注。
• 白俄罗斯最感兴趣的是个人目标，包括白俄罗斯反对派成员和媒体。
• 研究人员的技术分析将该组织定位到白俄罗斯明斯克，并将其与白俄罗斯军方联系起来。