Ghostwriter in der Shell: Erweiterung von Mandiants Zuordnung von UNC1151 zu Weißrussland

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Diese Untersuchung geht auf Mandiants öffentliche Zuschreibung der UNC1151- und Ghostwriter-Aktivitäten an Einrichtungen in Weißrussland ein und beschreibt den organisatorischen Einfluss des russischen Militärs in Minsk, wodurch ein wahrscheinlicher Zusammenhang mit russischen Interessen untermauert wird. Der Zeitrahmen unserer Forschung erstreckt sich von März 2017 bis in die Gegenwart und verwendet Daten der Recorded Future Platform mit Open-Source-Anreicherung. Es soll eine Grundlage für das Verständnis der Beziehung zwischen den Bedrohungsakteuren und den umfassenderen Einflüssen und Treibern von Aktivitäten bieten sowie die bestehende Berichterstattung der Cybersicherheitsbranche ergänzen und bestehende Wissenslücken im Hinblick auf das Verständnis von UNC1151 und Ghostwriter-Aktivitäten schließen. Dieser Bericht dürfte für Cybersicherheitsexperten von Interesse sein, die Akteure im Bereich Advanced Persistent Threats (APT) verfolgen, sowie für alle, die weitere Informationen zu UNC1151 und Ghostwriter suchen.

Executive Summary

Am 16. November 2021 präsentierten die Analysten von Mandiant ihre jüngsten Forschungsergebnisse zu den Aktivitäten des Cyber-Bedrohungsakteurs, den sie als UNC1151 bezeichnet haben, und gaben Einblicke in die gemeinsame, auf Cyber- und Informationsoperationen basierende Kampagne mit der Bezeichnung Ghostwriter. Das Mandiant-Team kam zu dem Schluss, dass mit hoher Wahrscheinlichkeit die belarussische Regierung für die Aktivitäten gemäß UNC1151 verantwortlich war, die sich vor allem gegen europäische Einrichtungen richteten. Mit mittlerer Wahrscheinlichkeit kam es zu der Einschätzung, dass dieselbe(n) Einrichtung(en) größtenteils auch hinter den Informationsoperationen im Rahmen der Ghostwriter-Aktivitäten steckten. Dennoch konnte Mandiant durch seine Recherchen nicht ausschließen, dass die russische Regierung oder andere internationale Organisationen an der Kampagne beteiligt sein könnten.

Zwar liegen bislang keine technischen Beweise für eine russische Beteiligung vor, doch dürfte es sich hierbei um einen beabsichtigten Teil der Drohaktivität handeln. Wir haben viele Überschneidungen hinsichtlich der von UNC1151 und Ghostwriter-Aktivitäten sowie russischen Bedrohungsaktivitätsgruppen verwendeten Taktiken, Techniken und Verfahren (TTPs) festgestellt. Darüber hinaus stellen wir fest, dass bei den russischen militärischen Advanced Persistent Threat Groups (APTs) häufig False Flags zum Einsatz kommen, was mit ziemlicher Sicherheit auf ihre Ausbildung in der russischen Militärdisziplin der „Maskirovka“ bzw. Täuschung zurückzuführen ist. Solche Aktivitäten ermöglichen es mit dem russischen Militär verbündeten Advanced Persistent Threat (APT)-Gruppen, Aktivitäten auf eine Art und Weise zu planen und durchzuführen, die eine glaubhafte Abstreitbarkeit ermöglicht. Wir betonen außerdem die weitverbreitete Präsenz des russischen Militärs in Weißrussland sowie Hinweise auf weitere russische Einflussnahme und Ausbildung auf höchster Ebene, die alle auf eine wahrscheinliche russische Beteiligung und Einflussnahme in Weißrussland schließen lassen.

Wichtige Urteile

• Recorded Future bestreitet nicht die von Mandiant im November 2021 vorgelegten Erkenntnisse, die auf technische Verbindungen zwischen den Operationen UNC1151 und Ghostwriter und der belarussischen Regierung schließen lassen, die wahrscheinlich mit dem belarussischen Militär in Verbindung stehen.
• Es gibt zahlreiche Hinweise darauf, dass russische Regierungsstellen, insbesondere Einrichtungen des russischen Militär- und Wissenschaftssektors, in Fragen der Cybersicherheit und des Informationsschutzes wahrscheinlich mit der belarussischen Regierung zusammenarbeiten.
• Wir haben Berichte über Treffen auf höchster Ebene zwischen Vertretern des russischen und des belarussischen Sicherheitsdienstes erhalten, die darauf schließen lassen, dass eine Zusammenarbeit zwischen beiden wahrscheinlich ist.
• Es ist wahrscheinlich, dass russische Militäreinheiten, darunter möglicherweise auch Personen mit Verbindungen zu APT-Gruppen, die mit dem russischen Hauptnachrichtendienst (GRU/GU) in Verbindung stehen, von Weißrussland aus operierten, Einzelpersonen und Organisationen in Weißrussland unterstützten oder ausbildeten. Diese Einschätzung basiert auf den langfristigen Operationen des russischen Verteidigungsministeriums in Weißrussland.
• Die Interaktionen zwischen diesen Einheiten bilden die notwendige Grundlage dafür, dass die dem russischen Staat angeschlossenen militärischen Geheimdienste Weißrussland als Operationsbasis nutzen oder weißrussisches Personal in den Bereichen Informationskriegsführung und Cyberoperationen ausbilden können.
• Die Ghostwriter-Kampagne bestand, wie auch die UNC1151-Aktivität, aus gleichzeitig stattfindenden Cyber-Aktivitäten und Informationsoperationen; GRU/GU-APT-Gruppen waren ständig an Operationen beteiligt, die mehrere Aspekte des Informationsbereichs ausnutzten. Diese Gruppen verfügen höchstwahrscheinlich über die Fähigkeit und Absicht, Aspekte der Ghostwriter-Kampagne und der UNC1151-Aktivitäten durchzuführen.
• Russische GRU/GU-APT-Gruppen haben bei früheren Operationen immer wieder Stellvertreter eingesetzt oder Operationen unter falscher Flagge durchgeführt, um ihre Beteiligung an Cyberangriffen zu verschleiern. Die Durchführung von Ghostwriter/UNC1151-Aktivitäten von belarussischem Territorium aus oder die Einbeziehung belarussischer Streitkräfte in die Bemühungen dürften einen ähnlichen Ansatz zur Verschleierung einer russischen Beteiligung bieten.
• Die Relevanz dieser Untersuchung und die Bedeutung der Beschreibung der Beteiligung der russischen Regierung an den Bedrohungsaktivitäten des belarussischen Ghostwriters und von UNC1151 liegt darin, dass sie aufzeigt, wie das russische Militär von ausländischem Territorium aus operieren oder Stellvertreter einsetzen kann, um die Zuordnung zu erschweren. Die durch die Recorded Future-Plattform ermöglichte Synthese technischer und kontextbezogener Daten kann Herausforderungen bei der Zuordnung verringern.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.