Hackers vinculados a Bielorrusia intentan controlar perfiles de militares ucranianos para publicar bulos
Facebook ha detectado un aumento de los intentos de hackeo contra las cuentas de soldados y oficiales ucranianos. La red social apunta como principal responsable al grupo denominado “Ghostwriter”, conocido por la comunidad de especialistas en ciberseguridad por su alineamiento con los intereses del gobierno de Bielorrusia. Su objetivo es hacerse con el control de las cuentas y publicar desinformación haciéndose pasar por esos militares, especialmente vídeos falsos.
“Este grupo ha intentado hackear las cuentas de Facebook de docenas de militares ucranianos. En algunos casos, publicaron vídeos en los que se pedía al ejército que se rindiera, como si estas publicaciones procedieran de los propietarios legítimos de las cuentas. Hemos bloqueado la difusión de estos vídeos”, avisa la compañía de redes en su informe trimestral sobre actividad maliciosa en sus plataformas, publicado este jueves.
La táctica de Ghostwriter suele ser comprometer a sus víctimas a través de phishing por correo electrónico, obteniendo acceso a sus datos confidenciales y contraseñas, que luego utiliza para acceder a sus cuentas en redes sociales. Firmas de ciberseguridad como Mandiant (hasta ahora independiente y recientemente adquirida por Google por 5.000 millones de dólares) llevan varios años rastreando al grupo y han hallado vínculos entre Ghostwriter y el Gobierno de Bielorrusia dirigido por Aleksandr Lukashenko.
El enlace entre ambos es UNC1151, el nombre en clave de una organización profesional de ciberataques de la que se tiene una “alta confianza” de que “está vinculada al gobierno bielorruso”. A su vez, “UNC1151 proporciona apoyo técnico a la campaña de operaciones de información Ghostwriter”, refleja Mandiant en una investigación publicada antes de la guerra, en noviembre de 2021: “Esta evaluación, junto con las narrativas observadas de Ghostwriter que coinciden con los intereses del gobierno bielorruso, nos hace evaluar con una confianza moderada que es probable que Bielorrusia también sea responsable, al menos parcialmente, de la campaña Ghostwriter”.
Es probable que Bielorrusia también sea responsable, al menos parcialmente, de la campaña Ghostwriter
“No podemos descartar la contribución rusa a UNC1151 o a Ghostwriter. Sin embargo, en este momento, no hemos descubierto pruebas directas de tales contribuciones”, afirma la firma de ciberseguridad.
El 26 de febrero, horas después de que se consumara la invasión rusa contra Ucrania, Facebook alertó de había detectado un aumento de la actividad de Ghostwriter en sus plataformas. Ahora refleja que sus acciones no hicieron sino aumentar en las semanas siguientes. En esos primeros días, el grupo utilizó el acceso a las cuentas de militares ucranianos para publicar desinformación sobre su supuesta renuncia a la lucha, como “un vídeo que decía mostrar a soldados ucranianos saliendo de un bosque mientras ondean una bandera blanca”.
Facebook dice haber “tomado medidas” en las cuentas de soldados ucranianos que se han visto comprometidas por Ghostwriter alertando “a los usuarios de que han sido un objetivo”. “También hemos bloqueado los dominios de phishing que estos hackers utilizaron para tratar de engañar a la gente en Ucrania y comprometer sus cuentas”.
Hackers con objetivos políticos
A diferencia de otras mafias que operan desde Rusia y que han tomado partido a favor del Kremlin desde el comienzo de la guerra, Ghostwriter no tiene una motivación económica, sino política. Hasta el verano de 2020, el grupo “promovió principalmente narrativas contra la OTAN que parecían destinadas a socavar la cooperación regional en materia de seguridad en operaciones dirigidas a Lituania, Letonia y Polonia”, explica el informe sobre ellos elaborado por Mandiant.
Ese trabajo se basó en la “difusión de desinformación que presenta la presencia de tropas extranjeras en la región como una amenaza para los residentes y alega que los costes de la pertenencia a la OTAN son un perjuicio para las poblaciones locales”, seguía la firma, que refleja que esas narrativas podían servir tanto a los intereses rusos como a los bielorrusos. “Sin embargo, observamos que la campaña se ha dirigido específicamente a las audiencias de los países fronterizos con Bielorrusia”, reflejan, citando como ejemplo el hecho de que el grupo haya obviado a Estonia de sus objetivos, que no tiene frontera con Bielorrusia pero es un estado báltico y miembro de la OTAN, “un componente relevante de cualquier preocupación sobre la postura de seguridad de la OTAN en su flanco oriental”.
Desde las elecciones de Bielorrusia de 2020, cuando Lukashenko estuvo a punto de perder el poder, “las operaciones de Ghostwriter se han alineado más claramente con los intereses de Minsk”. El grupo puso el foco en desacreditar a la oposición bielorrusa y en extender escándalos de corrupción sobre los partidos gobernantes de Polonia y Lituania, que han condenado enérgicamente la represión de los manifestantes por parte de Lukashenko, así como sus maniobras para perpetuarse en un poder en el que permanece desde 1994.
Siempre con la táctica de hackear cuentas de redes sociales para distribuir desinformación haciéndose pasar por sus usuarios, “las narraciones de los autores fantasma de Ghostwriter, especialmente las que critican a los gobiernos vecinos, han aparecido en la televisión estatal bielorrusa como un hecho”, refleja Mandiant. “Además, hemos observado que los canales de Telegram favorables al gobierno bielorruso reenvían o citan regularmente un canal de Telegram en ruso que hemos atribuido a Ghostwriter”.
Una falsa ONG que denunciaba ataques ucranianos a civiles
Los informes trimestrales de Facebook sobre actividad maliciosa en sus plataformas recogen todas las acciones de la compañía para eliminar las operaciones de influencia con fines tanto políticos como económicos. Sus análisis son globales y en ellos ha salido también el PP, autor de una campaña de desinformación a través de cuentas falsas para neutralizar el voto de la izquierda en las elecciones de 2019 desvelada por elDiario.es. No obstante, el origen de la mayoría de redes que desactiva es Rusia y la Internet Research Agency (IRA), dirigida por Yevgeny Prigozhin, un empresario muy próximo a Putin.
Desde la invasión, sus artículos culpaban del ataque de Rusia a la OTAN y a Occidente y acusaban a las fuerzas ucranianas de atacar a los civiles
El documento relativo a los tres primeros meses de 2022 también incluye nuevos intentos de la IRA para llevar a cabo operaciones de desinformación en Facebook. “Detectamos y desmontamos un intento de regreso por parte de una red que eliminamos en diciembre de 2020 y que estaba vinculada a individuos asociados con la actividad pasada de la IRA”, detalla el informe: “Su actividad fuera de la plataforma parece haber comenzado el año pasado y se centró en un sitio web que se hacía pasar por una ONG centrada en los derechos civiles en Occidente”.
“Intentaron, sin éxito, crear cuentas de Facebook a finales de 2021 y en enero de 2022. A lo largo de enero y febrero de este año, el sitio web publicó artículos sobre la violencia policial en Occidente, pero desde la invasión, sus artículos culpaban del ataque de Rusia a la OTAN y a Occidente y acusaban a las fuerzas ucranianas de atacar a los civiles”, señala Facebook.
6