Ghostwriter: el grupo cibercriminal bielorruso que está intentando robar información en la OTAN

De acuerdo con un informe de la empresa de ciberseguridad Proofpoint, en las últimas semanas el grupo ha estado lanzando ataques por correo electrónico contra personal de instituciones europeas involucrado en la gestión de la logística de los refugiados que huyen de Ucrania. Según la firma, la campaña podría estar patrocinada directamente por el régimen de Aleksandr Lukashenko . Exactamente la misma información que compartió el grupo de amenazas de Google hace escasas horas .

«Los mensajes de correo electrónico observados por Proofpoint se limitaban a entidades gubernamentales europeas. Las personas a las que iban dirigidos los mensajes poseían una amplia gama de conocimientos y responsabilidades profesionales. Sin embargo, había una clara preferencia por dirigirse a personas con responsabilidades relacionadas con el transporte, la asignación financiera y presupuestaria, la administración y el movimiento de personas en Europa», explica en conversación con ABC Ryan Kalember , vicepresidente de estrategia de ciberseguridad de Proofpoint.

De acuerdo con la marca, la campaña comienza a partir de cuentas de correo electrónico vulneradas de miembros del Ejército ucraniano. La alarma saltó el pasado 24 de febrero, cuando la empresa detectó mensajes de apariencia maliciosa dirigidos desde Ucrania a entidades gubernamentales europeas. Estos intentaban engañar a los usuarios haciendo referencia a una reunión de la OTAN. Además, incluían un documento adjunto malicioso que escondía un código conocido como SunSeed, destinado al robo de información .

«El correo electrónico utilizaba contenido de ingeniería social y comparte una similitud parcial con actividades patrocinadas por el estado de las que ha informado el gobierno ucraniano. Basamos esta evaluación en el conjunto de objetivos de la campaña, la cadena de infección identificada y el comportamiento histórico de los autores de amenazas alineados con Rusia», dice el vicepresidente de Proofpoint.

Precisamente, según Proofpoint, el principal objetivo de esta campaña pasaría por acceder a información sobre los movimientos de los ciudadanos ucranianos que han abandonado el país a causa de la invasión rusa. «La explotación de la información en torno a los movimientos de refugiados en Europa con fines de desinformación es una parte probada de las técnicas estatales rusas y bielorrusas», apunta Kalember.

Como señala el vicepresidente de la empresa, la adquisición de información de inteligencia sobre la logística, la financiación, los suministros y las personas involucradas en los movimientos de refugiados dentro de los países miembros de la OTAN sería útil en campañas de ' fake news '. Y es que Ghostwriter ha estado detrás de un importante número de operaciones destinadas a manipular el sentimiento de los europeos en el pasado , de acuerdo con Proofpoint.

«En este caso, la campaña podría permitir a los autores de amenazas alineados con Rusia establecer narrativas que podrían ser utilizadas para aumentar el sentimiento antirrefugiados dentro de los países europeos y exacerbar las tensiones entre los miembros de la OTAN, disminuyendo el apoyo occidental a las entidades ucranianas involucradas en el conflicto armado», dice Kalember.