Proofpoint heeft nieuw onderzoek gepubliceerd waaruit blijkt dat Wit-Rusland waarschijnlijk cybercriminele activiteiten heeft gesponsord tegen Europese overheidsmedewerkers. De activiteiten zijn met name gericht op logistieke processen rond de vluchtelingenstroom vanwege het conflict in Oekraïne.
De gerichte phishing-campagne, waarbij malware wordt verspreid die bekendstaat als ‘SunSeed’, is afkomstig van een gecompromitteerd e-mailaccount van een Oekraïense militair.
Proofpoint schrijft deze activiteit voorlopig toe aan een cybercriminele groep die bekendstaat als TA445 (Ghostwriter/ UNC1151). Deze groep lijkt vanuit Wit-Rusland te opereren en heeft in het verleden met name desinformatie verspreid met als doel het Europese sentiment rond de verplaatsing van vluchtelingen binnen NAVO-landen te beïnvloeden.
Deze emails waren gericht op personen die verantwoordelijk zijn voor vervoer, toewijzing van financiële middelen en budgetten, administratie en verplaatsing van bevolkingsgroepen binnen Europa. Het doel was informatie te verzamelen over de verplaatsing van financiële middelen, voorraden en mensen binnen de NAVO-landen.
Met het oog op de huidige oorlog tussen Rusland en Oekraïne zullen acties van bijvoorbeeld TA445 erop gericht zijn om informatie in te winnen over de verplaatsing van vluchtelingen uit Oekraïne en over andere kwesties die van belang zijn voor de Russische regering. Het lijkt er dus op dat migranten en oorlogsvluchtelingen worden aangevallen via een hybride model van informatieoorlog en gerichte cyberaanvallen.
De onderzoekers van Proofpoint zeggen hierover het volgende: “Deze campagne is een poging om NAVO-landen aan te vallen via gecompromitteerde Oekraïense militaire accounts tijdens een periode van gewapend conflict tussen Rusland, zijn bondgenoten, en Oekraïne. Hoewel de gebruikte technieken in deze campagne op zichzelf niet schokkend zijn, kunnen ze als collectief en tijdens een conflict behoorlijk effectief zijn. Als het conflict voortduurt, achten onderzoekers de kans groot dat er meer van dit soort aanvallen tegen regeringsinstanties in NAVO-landen zullen plaatsvinden. Bovendien is het bekend dat Russische en Wit-Russische staten graag informatie inwinnen over vluchtelingenstromen in Europa om desinformatie te verspreiden. Het is van het grootste belang dat we ons bewust zijn van deze dreiging en dat we dit publiekelijk bekendmaken, zodat eventuele slachtoffers zich hiervan bewust zijn.”
