Nach Angaben von CERT Polska hat GhostWriter seine Phishing-Operationen in Polen deutlich ausgeweitet. Während die Gruppe früher vor allem Arbeitskonten und E-Mail-Dienste polnischer Provider angriff, stehen seit März vermehrt private Gmail-Konten im Fokus. Die Kampagne zielt laut der Behörde in erster Linie auf Personen aus Politik und öffentlichem Leben.
Zu den betroffenen Gruppen zählen Regierungsvertreter, Forscher, Journalisten, Beschäftigte der öffentlichen Verwaltung und Mitarbeiter von Strafverfolgungsbehörden. Darüber hinaus geraten auch Familienangehörige und sonstige Kontakte der eigentlichen Zielpersonen ins Visier. CERT Polska erklärte, GhostWriter bleibe einer der aktivsten staatlich unterstützten Akteure, die von der Behörde verfolgt werden.
In einem am Freitag veröffentlichten Bericht schreiben die Forscher: „In den vergangenen Wochen hat unser Team fast täglich den Einsatz neuer Domains beobachtet, die Phishing-Seiten ausliefern.“ Die Kampagnen dienen dazu, Anmeldedaten und Codes für die Zwei-Faktor-Authentifizierung zu stehlen, um Zugriff auf E-Mail-Konten der Opfer zu erhalten.
Sobald die Angreifer Zugang haben, suchen sie laut CERT Polska typischerweise nach Kontaktlisten, sensiblen Dokumenten und verknüpften Online-Konten. Diese Informationen können demnach genutzt werden, um weitere Zielpersonen zu identifizieren oder Profile in sozialen Netzwerken zu übernehmen.
Die Forscher betonen zudem, dass die Täter die genaue E-Mail-Adresse ihrer Zielperson nicht immer kennen. Teilweise würden wahrscheinliche Gmail-Adressen erraten, wodurch Phishing-Nachrichten auch bei unbeteiligten Personen mit ähnlichen Namen landen können. Außerdem beobachtete die Behörde Kampagnen, die sich gezielt gegen bestimmte Regionen und Berufsgruppen richteten, darunter Übersetzer und Gerichtssachverständige.
GhostWriter wird auch unter den Bezeichnungen UNC1151 und Storm-0257 geführt. Cybersicherheitsforscher bringen die Gruppe mit belarussischen staatlichen Nachrichtendiensten in Verbindung. Gegen Ziele in Polen ist sie seit Russlands großangelegter Invasion der Ukraine aktiv.
Neben dem Diebstahl von Zugangsdaten schreibt der Quelltext der Gruppe auch Einfluss- und Desinformationsoperationen zu. Diese zielten darauf ab, Polens Beziehungen zur Ukraine, zu den Vereinigten Staaten und zur NATO zu untergraben und zugleich innenpolitische soziale Spannungen anzuheizen.
Die Hacker griffen zudem ukrainische Regierungsbehörden und militärische Organisationen an. Forscher berichteten Anfang dieses Jahres, dass GhostWriter gefälschte E-Mails verwendete, die als Benachrichtigungen einer populären Online-Lernplattform getarnt waren, um Schadsoftware an ukrainische Regierungsvertreter zu verteilen. In einer separaten Kampagne, die das Cybersicherheitsunternehmen SentinelOne im vergangenen Jahr aufdeckte, nahm die Gruppe außerdem belarussische Oppositionsaktivisten ins Visier.