Uwaga na fałszywe informacje dotyczące rekrutacji do międzynarodowej brygady. Rozpowszechniają je białoruscy hakerzy

Informację o szerokiej kampanii dezinformacyjnej dotyczącej rekrutacji do Litewsko - Polsko - Ukraińska Brygady im. Wielkiego Hetmana Konstantego Ostrogskiego przekazał Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT Ministerstwa Obrony Narodowej.

Brygada faktycznie działa, umowę o jej powstaniu podpisano w 2014 r., siedzibą w Polsce jest Lublin.

- Wiadomości zostały wysłane do wielu obywateli Polski w postaci wiadomości SMS oraz wykorzystując komunikator Telegram - przekazuje zespół CSIRT MON.

"MON zaprasza ochotników do służby w LitewskoPolskoUkraińskim Koprusie. Wszyscy chętni mogą składać wnioski drogą elektroniczną na adres..." - w różnych wiadomościach występuję różne adresy e-mailowe, które przypominają te należące do MON.

Fałszywe informacje wysyłane były również za pośrednictwem poczty elektronicznej. W tym celu adwersarz wykorzystał nowo zarejestrowaną domenę mon-gov[.]com.

Nowy system rekrutacyjny, według fałszywych komunikatów, miał zacząć działać od 23 kwietnia.

Na podstawie charakterystyki zarejestrowanej przez atakującego domeny mon-gov[.]com, analitycy CSIRT MON zidentyfikowali dodatkowe nowo zarejestrowane domeny, które z wysokim prawdopodobieństwem mogą zostać wykorzystane w tej samej operacji. To:

• gov-mon[.]com,
• government-mon[.]com,
• mon-government[.]com.

- Przedmiotowa operacja nosi znamiona prowadzonej w oparciu o wcześniej przygotowane tło informacyjne. Omawiany incydent korespondował z operacją propagandową prowadzoną od kilkudziesięciu godzin - sugerującą udział brygady (LITPOLUKRBRIG) w działaniach militarnych na terytorium Ukrainy. Proces kształtowania tła informacyjnego został zaaranżowany przez obiekty trwale zaangażowane w rosyjskie operacje dezinformacyjne - twierdzi zespół CSIRT MON.

- To kolejny incydent, w którym adwersarz łączy operacje w domenie informacyjno-psychologicznej z działaniami o charakterze technicznym. Zespół CSIRT MON wskazuje, że zagrożenie wynikające z przedmiotowego incydentu nie ma charakteru krótkotrwałego i operacja może być kontynuowana - twierdzi CSIRT MON.

Nie jest to pierwsza tego typu kampania dezinformacyjna. W styczniu obecnego roku, podszywając się pod Ministerstwo Spraw Wewnętrznych i Administracji hakerzy wysyłali wiadomości email zawierające fałszywe informacje na temat konieczności przekazania informacji o obywatelach Ukrainy przebywających na terytorium Polski. W marcu rozsyłane były fałszywe wiadomości o potencjalnych atakach terrorystycznych.

Według ekspertów MON, kampania dezinformacyjna pod kryptonimem „Ghostwriter” prowadzona przez grupę UNC1151 ma na celu:

• podważanie stosunków bilateralnych Polski z USA oraz innymi krajami NATO,
• zakłócanie relacji polsko-ukraińskich,
• dyskredytowanie pomocy udzielonej Ukrainie przez Polskę oraz pozostałe kraje NATO,
• stwarzanie warunków do niepokojów społecznych obywateli Polski,
• pozyskiwanie informacji w celach wywiadowczych, w tym na użytek operacji informacyjno – psychologicznych,
• wspieranie rosyjsko-białoruskich operacji informacyjnych realizowanych przeciwko NATO.

- Należy pamiętać, że grupa UNC1151 oprócz prowadzenia kampanii dezinformacyjnych, stale prowadzi kampanie phishingowe polegające na wykradaniu poświadczeń logowania do poczty elektronicznej. Adwersarz kompromituje również strony WWW oraz prowadzi kampanie mające na celu dystrybucję złośliwego oprogramowania. W 2023 roku CSIRT MON zidentyfikował dwie próby dostarczenia złośliwego oprogramowania grupy UNC1151 do podmiotów nadzorowanych przez Ministra Obrony Narodowej - przestrzega zespół CSIRT MON.

Od momentu rosyjskiej napaści na Ukrainę, CSIRT MON zaobserwował znaczący wzrost aktywności grupy UNC1151 przeciwko Polsce oraz Ukrainie.