Oekraïne verdenkt groep gelinkt aan Wit-Russische inlichtingendienst van cyberaanval

Kyiv gelooft dat een hackersgroep die banden heeft met de Wit-Russische inlichtingendienst een cyberaanval heeft uitgevoerd https://www.reuters.com/world/europe/expect-worst-ukraine-hit-by-cyberattack-russia-moves-more-troops-2022-01-14 die deze week Oekraïense overheidswebsites trof en malware gebruikte die lijkt op die van een groep die banden heeft met de Russische inlichtingendienst, zei een hoge Oekraïense veiligheidsfunctionaris.

Serhiy Demedyuk, adjunct-secretaris van de nationale veiligheids- en defensieraad, zei tegen Reuters dat Oekraïne de aanval van vrijdag - waarbij websites van de regering werden beklad met dreigberichten - toeschrijft aan een groep die bekend staat als UNC1151 en dat het een dekmantel was voor meer vernietigende acties achter de schermen.

"Wij geloven voorlopig dat de groep UNC1151 bij deze aanval betrokken kan zijn," zei hij.

Zijn opmerkingen bieden de eerste gedetailleerde analyse van Kiev over de vermoedelijke daders achter de cyberaanval op tientallen websites. Ambtenaren zeiden vrijdag dat Rusland er waarschijnlijk bij betrokken was, maar gaven geen details. Wit-Rusland is een nauwe bondgenoot van Rusland.

De cyberaanval spetterde websites met een waarschuwing om "bang te zijn en het ergste te verwachten" op een moment dat Rusland troepen heeft verzameld op https://www.reuters.com/world/europe/ukraine-crisis-what-next-after-week-talks-tension-2022-01-14 bij de grenzen van Oekraïne, en Kiev en Washington vrezen dat Moskou een nieuwe militaire aanval op Oekraïne plant.

Rusland heeft deze vrees als "ongegrond" van de hand gewezen.

Het bureau van de Wit-Russische president Alexander Loekasjenko reageerde niet onmiddellijk op een verzoek om commentaar over de opmerkingen van Demedyuk.

Het Russische ministerie van Buitenlandse Zaken reageerde ook niet onmiddellijk op een verzoek om commentaar op zijn opmerkingen. Het heeft eerder betrokkenheid bij cyberaanvallen, ook tegen Oekraïne, ontkend.

"De defacement van de sites was slechts een dekmantel voor meer destructieve acties die achter de schermen plaatsvonden en waarvan wij de gevolgen in de nabije toekomst zullen voelen," zei Demedyuk in een schriftelijk commentaar.

In een verwijzing naar UNC1151 zei hij: "Dit is een cyberspionagegroep die gelieerd is aan de speciale diensten van de Republiek Wit-Rusland."

"SPOORRECORD

Demedyuk, die vroeger het hoofd van de Oekraïense cyberpolitie was, zei dat de groep een track record had van aanvallen op Litouwen, Letland, Polen en Oekraïne en verhalen had verspreid waarin de aanwezigheid van het NAVO-bondgenootschap in Europa werd afgekeurd.

"De kwaadaardige software die gebruikt is om sommige overheidsservers te versleutelen, lijkt qua kenmerken sterk op de software die gebruikt wordt door de ATP-29 groep," zei hij, verwijzend naar een groep die verdacht wordt van betrokkenheid bij het hacken van het Democratisch Nationaal Comité vóór de Amerikaanse presidentsverkiezingen van 2016.

"De groep is gespecialiseerd in cyberspionage, die in verband gebracht wordt met de Russische speciale diensten (Buitenlandse Inlichtingendienst van de Russische Federatie) en die voor zijn aanvallen zijn toevlucht neemt tot het ronselen of undercover werken van zijn insiders in het juiste bedrijf," zei Demedyuk.

De berichten die vrijdag op de Oekraïense websites werden achtergelaten waren in drie talen: Oekraïens, Russisch en Pools. Zij verwezen naar Volhynië en Oost-Galicië, waar in het door nazi-Duitsland bezette Polen massamoorden werden gepleegd door het Oekraïense Opstandelingenleger (UPA). De episode blijft een twistpunt tussen Polen en Oekraïne.

Demedyuk suggereerde dat de hackers Google Translate hadden gebruikt voor de Poolse vertaling.

"Het is duidelijk dat zij er met deze primitieve methode niet in geslaagd zijn iemand te misleiden, maar toch is dit een bewijs dat de aanvallers "gespeeld" hebben op de Pools-Oekraïense betrekkingen (die alleen maar sterker worden met de dag)," zei hij.