Хакеры рэжыму Лукашэнкі атакуюць карыстальнікаў Gmail у Польшчы

• 13.06.2026, 2:17

Пад ударам — чыноўнікі, вайскоўцы і журналісты.

Звязаная з беларускімі ўладамі хакерская групоўка UNC1151, таксама вядомая як Ghostwriter і FrostyNeighbor, разгарнула маштабную кіберкампанію супраць грамадзян Польшчы, змяніўшы прыярытэты на ўзлом паштовых скрыняў сэрвісу Gmail. Нядоўна адзначалася актывізацыя групоўкі і на ўкраінскім напрамку, піша «Белсат».

Польская каманда рэагавання на камп’ютарныя надзвычайныя сітуацыі CERT Polska (Computer Emergency Response Team) папярэдзіла пра рэзкае ўзмацненне фішынгавых атак на польскіх карыстальнікаў. Калі раней зламыснікі атакоўвалі пераважна мясцовых паштовых правайдараў (Onet, Wirtualna Polska або Interia), то з сакавіка 2026 года пераключыліся на інфраструктуру Gmail.

Адзначаецца, што атакі вядуцца з высокай інтэнсіўнасцю, пераважна ў працоўныя дні. Для падману ахвяр амаль штодзённа ствараюцца новыя інтэрнэт-домены.

Як паведамляюць спецыялісты CERT Polska, узлом пачынаецца з фэйкавага ліста пра «крытычную пагрозу бяспецы», адпраўленага з падробленых тэхнічных адрасоў кампаніі Google. Напрыклад, monitoring.konta@gmail.com або serwis.pomoc.techniczna@gmail.com, хаця, як падкрэсліваюць эксперты, Google не выкарыстоўвае такія кантакты для камунікацыі з карыстальнікамі.

Калі карыстальнік пераходзіць па спасылцы, ён трапляе на фішынгавую старонку, дзе злачынцы прымушаюць яго ўвесці не толькі лагін і пароль, але і аднаразовы код двухфактарнай аўтэнтыфікацыі (2FA). Адзінай надзейнай абаронай, сцвярджае CERT Polska, у гэтай сітуацыі застаюцца апаратныя ключы бяспекі.

Кола інтарэсаў хакераў надзвычай шырокае: ад топ-чыноўнікаў, палітыкаў, вайскоўцаў, журналістаў і вучоных да судовых перакладчыкаў і экспертаў. Дзякуючы супадзенню імёнаў або спробам адгадаць адрасы пад удар часта трапляюць і выпадковыя людзі, а таксама іх сваякі і сябры.

«Група UNC1151/Ghostwriter застаецца адной з найбольш актыўных APT-груповак (пашыраных пастаянных пагроз), за якімі назірае каманда CERT Polska. На працягу многіх гадоў яна рэгулярна праводзіць фішынгавыя кампаніі з мэтай атрымання доступу да паштовых скрыняў польскіх грамадзян», — гаворыцца ў афіцыйным паведамленні CERT Polska.

Залішняя цікавасць да прыватнай перапіскі выкарыстоўваецца для далейшай агрэсіі і вербоўкі. CERT Polska тлумачыць алгарытм дзеянняў зламыснікаў наступным чынам:

«Захопленыя скрыні затым праглядаюцца на прадмет інфармацыі, цікавай з пункту гледжання атакоўнікаў, такой як спіс кантактаў (для вызначэння наступных мэт кампаніі), канфідэнцыйныя дакументы або звязаныя ўліковыя запісы (напрыклад, у сацыяльных сетках), якімі можна завалодаць для іх далейшага выкарыстання», — адзначае CERT Polska.

Паралельна з аперацыямі ў Польшчы гэтая ж структура (пад назвай FrostyNeighbor) вядзе актыўную працу супраць Украіны: з сакавіка 2026 года зафіксаваны шпіянаж супраць украінскіх міністэрстваў, ваенных структур і стратэгічных прадпрыемстваў.

Хакеры рассылаюць фішынгавыя PDF-лісты, маскіруючы іх пад паведамленні аператара «Укртэлекам». Калі сістэма вызначае, што ахвяра карыстаецца ўкраінскім IP-адрасам, на камп’ютар сцягваецца шкоднасны скрыпт, які адначасова паказвае чалавеку сапраўдны дакумент і незаўважна запускае загрузчык PicassoLoader.

Гэтая праграма збірае поўныя даныя пра сістэму і адпраўляе іх на сервер хакераў. Калі ахвяра становіцца мішэнню высокага ўзроўню, зламыснікі ўкараняюць інструмент на базе Cobalt Strike, які дазваляе завалодаць поўным дыстанцыйным кантролем над камп’ютарам для далейшага шпіянажу.

Спецыялісты міжнароднай кампаніі кібербяспекі ESET падкрэсліваюць, што пастаяннае ўдасканаленне метадаў групоўкі сведчыць пра яе высокую падрыхтаванасць і доўгатэрміновую зацікаўленасць рэжыму ў Мінску ў стратэгічных аб’ектах у Усходняй Еўропе.