Dezinformační kampaň Ghostwriter
Během července 2020 uveřejnila bezpečnostní firma Mandiant svůj první report (pdf verze zde, 545 kB) o zachycené informační operaci spočívající mj. v sérii dezinformačních kampaní, nazvané Ghostwriter. Rok poté na něj navázala analýzou nově zjištěných incidentů. Ze zjištěných poznatků vyplývá, že je Ghostwriter komplexní vlivovou operací zahrnující dlouhodobé působení v rámci několika evropských zemí a korespondující s ruskými bezpečnostními zájmy, jakými je např. kritika NATO. A to za použití falešných účtů a fiktivních osob vydávajících se za analytiky či novináře, či v rámci podněcování kontroverzních témat v jednotlivých státech. Podle posledních informací stejnojmenné společnosti stojí za kampaní Ghostwriter Bělorusko, jehož zapojení Mandiant dovozuje z toho, že se na operacích podílí běloruská APT skupina označovaná jako UNC1151. Uvedený závěr současně odpovídá vyjádřením dalších analytiků, kteří se operacím v rámci dané kampaně věnovali.
Na Bělorusko jako aktéra vlivového působení v tomto kontextu poukazuje i fakt, že byla kampaň Ghostwriter do roku 2020 zaměřena proti NATO a posléze se přeorientovala na státy sousedící s Běloruskem, takže lze usuzovat, že je prostřednictvím Ghostwriter usilováno o destabilizaci vlád ve Vilniusu, Rize či Varšavě. Nelze přitom(vzhledem ke spřízněnosti ruských a běloruských bezpečnostních složek) vyloučit ani to, že je v operaci angažována RF. Ghostwriter ostatně vykazuje některé shodné rysy s kampaní Secondary Infektion přisuzované Rusku.
Obrázek č. 1: Časová osa kampaně Ghostwriter. Zdroj: Mandiant.
FORMY VLIVOVÉHO PŮSOBENÍ OPERACE GHOSTWRITER A ZPŮSOBY ŠÍŘENÍ DEZINFORMAČNÍCH NARATIVŮ
V začátku aktivit asociovaných s Ghostwriter většinově stojí využívání obvyklého vektoru kybernetických útoků (spear-phishing), kdy je pomocí e-mailů vedoucích ke stažení malwaru kompromitován cílový systém následně sloužící (v tomto případě) k šíření dezinformačních narativů. Konkrétně se operace vyznačovaly níže uvedenými jednotícími znaky (jedná se primárně o popis vztahující se k prvnímu reportu, ze kterého tento přehled primárně čerpá a na němž návazné informace nic podstatného nemění).
Třebaže operace v rámci Ghostwriter nesledovaly žádný jednotný vzorec, obecně lze říci, že jejich první etapa zahrnuje vytvoření narativu obsahujícího zpravidla odkaz na vymyšlený zdroj, zejména pozměněné dokumenty jako úřední korespondence, vyjádření vládních představitelů či zfalšované obrázky. Příkladem jsou např. údajná citace velitele NATO bojové skupiny eFP sloužící ke konstrukci narativu, že jsou kanadští vojáci v Lotyšsku nakažení COVID-19, nebo vymyšlený dopis, u nějž byl jako autor uveden generální tajemník NATO J. Stoltenberg, naznačující, že se NATO hodlá v důsledku pandemie COVID-19 stáhnout z Litvy. V ohledu padělaných fotografií lze jako příklad uvést i obrázek židovského hřbitova, který měl být znesvěcen německými vojáky.
Následně přichází na řadu jedna nebo více fází šíření těchto narativů, a to za kombinace různých taktik zahrnujících umisťování článků a podpůrných zfalšovaných dokumentů na legitimní informační zdroje, které byly kompromitovány; využívání fiktivních osob jako autorů „zpravodajství“ a názorových příspěvků umisťovaných na pravidelně využívané weby, které návštěvníkům umožňují publikovat jejich vlastní obsah; zveřejňování příspěvků na weby a blogy vlastněné pravděpodobně přímo původci Ghostwriter, a přímé šíření daného obsahu pomocí e-mailů adresovaných i legitimním médiím a vládním činitelům. E-maily v rámci Ghostwriter ve většině případů využívaly podvržené adresy vydávající se za e-maily různých osob, jež zahrnovaly např. představitele armády a státních útvarů či novináře.
Podle všeho využívalo větší množství operací v rámci Ghostwriter k šíření falešných zpráv nebo dokumentů kompromitované weby – především zpravodajské portály. Mandiant nemá výše uvedené informace nezávisle potvrzené a spoléhá na zprávy státních orgánů a médií v dotyčných zemích. V některých případech informovaly o průniku do svých systémů samotné oběti/weby, avšak mnohé kopie zveřejněných materiálů šířených v rámci Ghostwriter byly nalezeny i na dalších stránkách, u kterých je podezření na kompromitaci také. Veřejně dostupné informace nasvědčují tomu, že v některých případech pachatelé využili získaný uživatelský přístup do redakčních systémů a jejich modus operandi se spíše než vkládáním nových příspěvků vyznačoval nahrazováním již existujících textů smyšlenými narativy.
Fiktivní osoby, angažované v rámci Ghostwriter, publikovaly zejména v angličtině na malé skupině webů umožňujících publikaci uživatelského obsahu jako OpEdNews.com, BalticWord.com a proruské stránky TheDuran.com, stejně jako (s menší intenzitou) na více než tuctu dalších webů, blogů (Wix, Blogspot, Wordpress) a účtů na sociálních sítích ovládaných pravděpodobně falešnými profily (třebaže sociální sítě nepředstavovaly hlavní vektor šíření kampaně). Články v rámci zmiňované primární množiny využívaných webů odkazují na texty či materiály zveřejňované na legitimních informačních zdrojích, jejichž obsah vlivoví aktéři Ghostwriter pozměnili. Jako příklad tohoto typu sdělení lze uvést článek s názvem „Představitel USA neměl slitování s polskými vojáky“, zveřejněný na webu TheDuran.com pod autorským profilem Rod Renny, který přímo odkazoval na zfalšovaný rozhovor publikovaný na několika kompromitovaných polských zpravodajských serverech.
Obrázek č. 2: agregované vzorce šíření narativů v rámci čtrnácti zaznamenaných operací Ghostwriter (konkrétní vzorce se v rámci jednotlivých operací Ghostwriter liší). Zdroj: Mandiant.
V kontextu hlavní skupiny „zpravodajských“ webů, kterou aktéři stojící za Ghostwriter sdíleli, bylo identifikováno 14 fiktivních osob, které byly do kampaně začleněny, přičemž zhruba polovina z nich se angažovala v rozšiřování fabrikovaných sdělení opakovaně. Vedle nich byli s operacemi spojeni i další lidé/profily, jejichž zapojení do kampaně nebylo k datu prvního reportu potvrzeno.
Není nezajímavé, že na operaci Ghostwriter na podzim roku 2021 tiskovým prohlášením formálně zareagovala EU, která se na základě atribuce členských států (např. Německo dříve asociovalo dotyčnou kampaň s ruskou GU) obracela na RF, kterou vyzvala k dodržování norem odpovědného chování států v kyberprostoru. Zároveň aktivity v rámci operace odsoudila coby formu oslabování demokratických institucí a procesů prostřednictvím šíření dezinformací a manipulace s informacemi a avizovala, že se k této otázce vrátí na nadcházejících zasedáních a zváží přijetí dalších kroků. Podle dostupných informací nechala ruská strana tento krok bez odezvy.
Ve výsledku se jedná o zajímavý případ komplexní dezinformační kampaně, která (podle aktuálně dostupných informací) není z provenience klasických aktérů jako je RF, ČLR nebo Írán, s nimiž jsou tyto aktivity obvykle spojovány. Aspekt netradičního pachatele rovněž upozorňuje na ošidnost atribuce tohoto typu útoků pouze na základě jejich přibližného modu operandi a cílů, vůči nimž jsou takové aktivity namířeny. Z využívání státních APT skupin k cílenému šíření dezinformací je patrné, že je tento prostředek vnímán (minimálně vzhledem k vynaloženým nákladům) jako efektivní způsob dosahování vlastních cílů v mezinárodních vztazích. Tomu odpovídá i fakt, že k využívání informačních operací přikračuje v současné době větší množství států.