Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah memperingatkan peretas yang disponsori negara Belarusia yang menargetkan personel militernya dan individu terkait sebagai bagian dari kampanye phishing yang dipasang di tengah invasi militer Rusia ke negara itu.
"Email phishing massal baru-baru ini diamati menargetkan akun pribadi 'i.ua' dan 'meta.ua' personel militer Ukraina dan individu terkait," kata CERT-UA. "Setelah akun disusupi, penyerang, dengan protokol IMAP, mendapatkan akses ke semua pesan."
Selanjutnya, serangan memanfaatkan informasi kontak yang disimpan di buku alamat korban untuk menyebarkan pesan phishing ke target lain.
Pemerintah Ukraina mengaitkan aktivitas tersebut dengan aktor ancaman yang dilacak sebagai UNC1151, sebuah kelompok berbasis di Minsk yang "anggotanya adalah pejabat Kementerian Pertahanan Republik Belarus". Dalam pembaruan tindak lanjut, badan tersebut mengatakan kelompok negara-bangsa juga menargetkan warganya sendiri, sambil secara bersamaan mengarahkan pandangannya pada entitas Rusia –
-Asosiasi Belarusia Dunia (Persatuan Sosial Internasional)
-Festival Musik Belarusia
-Organisasi Publik Samara Oblasna "Persaudaraan Rusia-Belarusia 2000"
-Dzêâslov, sebuah majalah sastra Belarusia
-Soviet Belarus (Sovetskaya Belorussiya), sebuah surat kabar harian di Belarus
-Karyawan Akademi Nasional Republik Kazakhstan, dan
-Voice of the Motherland, sebuah surat kabar lokal di Belarus
UNC1151 adalah moniker yang ditugaskan Mandiant ke kluster ancaman yang tidak dikategorikan, yang beroperasi dengan tujuan yang selaras dengan kepentingan pemerintah Belarusia. Kelompok peretas itu diyakini telah aktif setidaknya sejak 2016.
Terlebih lagi, serangan perusakan muka bulan Januari terhadap beberapa situs web pemerintah Ukraina dengan pesan-pesan ancaman diyakini juga merupakan hasil karya UNC1151.
Grup Peretasan Berpihak
"Kolektif Anonymous secara resmi dalam perang dunia maya melawan pemerintah Rusia," cuit kelompok peretas terdesentralisasi, menambahkan bahwa "membocorkan database situs web Kementerian Pertahanan Rusia."
Kelompok lain yang telah menyatakan kesetiaannya ke Ukraina adalah kelompok main hakim sendiri yang dikenal sebagai GhostSec (kependekan dari Ghost Security), yang mengumumkan telah membanjiri situs web militer Rusia dengan serangan DDoS "untuk mendukung orang-orang di Ukraina."
Kartel ransomware Conti, yang baru-baru ini menyerap trojan TrickBot yang sekarang ditutup, mengumpulkan "dukungan penuh" di belakang pemerintah Rusia, mengancam untuk "menyerang kembali infrastruktur penting musuh" jika "siapa pun memutuskan untuk mengatur serangan dunia maya atau setiap kegiatan perang melawan Rusia."
Kelompok itu, bagaimanapun, kemudian mengulangi pernyataannya untuk menyatakan bahwa "kami tidak bersekutu dengan pemerintah mana pun dan kami mengutuk perang yang sedang berlangsung." Tetapi tim Conti juga menyatakan bahwa mereka "akan menggunakan kapasitas penuh kami untuk melakukan tindakan pembalasan jika para penghasut perang Barat berusaha untuk menargetkan infrastruktur penting di Rusia atau wilayah berbahasa Rusia mana pun di dunia.
" Entitas peretasan lain yang menyatakan kesetiaan kepada Rusia adalah kelompok kejahatan dunia maya RedBanditsRU dan program ransomware CoomingProject yang kurang dikenal, yang berjanji untuk "membantu pemerintah Rusia jika melakukan serangan dan tindakan dunia maya terhadap Rusia."