We wstępie swojego raportu, Mandiant "z dużą pewnością ocenia, że [grupa] UNC1151 jest powiązana z rządem Białorusi. Ocena ta oparta jest na wskaźnikach technicznych i geograficznych" - czytamy w pierwszych zdaniach raportu.
Według ustaleń firmy, UNC1151 stanowi wsparcie techniczne dla kampanii Ghostwriter, za którą przynajmniej w części odpowiedzialna jest Białoruś. Nie wykluczony jest także wkład Rosji, jednak dotychczas nie udało się tego bezpośrednio udowodnić.
Mandiant wskazuje, że w kręgu zainteresowań UNC1511 są podmioty rządowe oraz prywatne na Ukrainie, Litwie, Łotwie, w Polsce oraz w Niemczech, a także dysydenci i niezależne media na Białorusi.
Ustalono, że operatorzy UNC1151 działają w Mińsku, a "oddzielne dowody techniczne potwierdzają związek między operatorami UNC1151 a białoruskim wojskiem".
Firma zaobserwowała, że o ile przed 2020 r. działania Ghostwriter były nakierowane na kraje NATO, o tyle od połowy 2020 r. skupiały się na krajach sąsiadujących z Białorusią. W podejmowanych działaniach próbowano spowodować wewnętrzne niepokoje w tych krajach m.in. przez zarzucanie korupcji lub skandalu w sferach rządzących.
Pełna treść raportu dostępna jest tutaj: https://www.mandiant.com/resources/unc1151-linked-to-belarus-government
Według firmy początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 r., a cyberszpiegowskiej - 2017. Kampania zyskała swoją nazwę z racji początkowych taktyk hakerów, którzy włamywali się do systemów lokalnych portali i umieszczali w nich fałszywe informacje wymierzone głównie w obecność wojsk NATO. Od tego czasu operacja rozszerzyła swój zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była trwająca do dziś publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.
