Za cyberoperacją Ghostwriter, w ramach której m.in. publikowane są maile polskich polityków, stoi zespół hakerów określanych jako UNC1151.
„Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki” – napisano w komunikacie firmy. „Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. Obecnie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu”.
Początki w 2016 roku
Według firmy początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 roku, a cyberszpiegowskiej – 2017. Od tego czasu operacja rozszerzyła zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była trwająca do dziś publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.
Celem Ukraina, Litwa, Łotwa, Polska i Niemcy
Celem hakerów miał być „szeroki wachlarz podmiotów z sektora publicznego i prywatnego ze wskazaniem na Ukrainę, Litwę, Łotwę, Polskę i Niemcy”. W raporcie podkreślono, że elementem działania było rejestrowanie domen internetowych udających faktycznie istniejące adresy stron WWW, w celu wyłudzania danych dostępowych.
W lipcu dziennikarz WP Szymon Jadczak o atakach na skrzynki mailowe polityków rozmawiał z Piotrem Pytlem, byłym szefem Służby Kontrwywiadu Wojskowego, który wówczas wprost wskazywał, że ataki pochodzą z Białorusi i Rosji.