Od marca 2026 roku elitarna grupa hakerska UNC1151/Ghostwriter radykalnie zmieniła front działań. Porzuciła dotychczasowe ataki na polskie portale (Onet, WP, Interia) na rzecz zmasowanej kampanii wymierzonej w użytkowników poczty Gmail. Cyberprzestępcy działają z ogromną intensywnością w dni robocze, stosując zaawansowaną socjotechnikę pod presją czasu. Skala zagrożenia jest ogromna.
Wpisujesz kod z SMS-a? W tej samej sekundzie haker loguje się na Twoje konto
Najbardziej niebezpiecznym elementem nowej strategii grupy UNC1151//Ghostwriter jest porzucenie prostego wyłudzania haseł na rzecz dynamicznego phishingu, który w pełni neutralizuje dwuskładnikowe uwierzytelnienie (2FA). Cyberprzestępcy doskonale zdają sobie sprawę, że większość świadomych użytkowników czuje się bezpiecznie, mając włączone weryfikacje SMS lub aplikacje pokroju Google Authenticator. Nowo zaprojektowana przez hakerów infrastruktura potrafi jednak bez problemu ominąć ten mur obronny za pomocą skryptów działających w czasie rzeczywistym.
W momencie, gdy zmanipulowana ofiara wpisuje swój login i hasło na podrobionym panelu, automat w tle natychmiast inicjuje próbę logowania na realnych serwerach Google. Jeśli system bezpieczeństwa wysyła żądanie podania drugiego składnika, fałszywa witryna błyskawicznie modyfikuje swój wygląd, wyświetlając ofierze kolejne okienko z prośbą o przepisanie jednorazowego kodu. Użytkownik, przekonany, że bierze udział w standardowej procedurze weryfikacyjnej, sam oddaje klucz dostępu do swojej prywatności. Hakerzy w tej samej sekundzie przejmują pełną kontrolę nad skrzynką pocztową.
Sprawdzasz adres nadawcy? Hakerzy i tak oszukają Twoje filtry
W celu zmaksymalizowania skuteczności oraz uśpienia czujności algorytmów antyspamowych Google, napastnicy z UNC1151 wdrożyli unikalny zestaw technik maskujących strukturę wysyłanych wiadomości. Zamiast kierować je tradycyjnie do pojedynczego adresata, hakerzy masowo wykorzystują mechanizm ukrytej kopii (UDW/BCC). To drastycznie utrudnia systemom filtrującym analizę nagłówków i blokowanie spamu na wczesnym etapie.
Oprócz zaawansowanych trików technicznych, hakerzy odrobili lekcję z języka polskiego. Wiadomości są pisane nienaganną polszczyzną, bez błędów ortograficznych czy niezgrabnych językowych kalk, które dotychczas pozwalały łatwo rozpoznać oszustwo. Najczęściej podszywają się pod same systemy bezpieczeństwa Google, wysyłając pilne komunikaty o rzekomym wykryciu podejrzanego logowania lub o konieczności natychmiastowej zmiany hasła.
Równie wyrafinowanie prezentuje się zaplecze serwerowe operacji. Nie opiera się ono bowiem wyłącznie na nowo rejestrowanych domenach z podejrzanymi końcówkami. Hakerzy zaczęli na masową skalę nadużywać darmowych usług hostowania aplikacji webowych (np. Netlify) oraz włamywać się na legalnie działające, polskie witryny internetowe. To jest najbardziej niepokojące.
Wykorzystując luki w zabezpieczeniach systemów CMS lokalnych firm czy instytucji, przestępcy instalują tam swoje fałszywe panele logowania. Ponieważ główna strona przejętego podmiotu działa bez żadnych zakłóceń, właściciele serwerów bardzo długo nie mają pojęcia, że ich oficjalny adres służy jako baza wypadowa do wykradania danych obywateli. Taki mechanizm sprawia, że linki przesyłane w mailach wyglądają wiarygodnie. Filtry bezpieczeństwa oraz zwykli użytkownicy mają więc ogromny problem z błyskawicznym zidentyfikowaniem śmiertelnego zagrożenia.
Polują na urzędników i mundurowych, ale przez zbieżność nazwisk możesz oberwać i Ty
Spektrum zainteresowań grupy UNC1151/Ghostwriter wykracza daleko poza standardowe oszustwa finansowe, skupiając się na twardej działalności szpiegowskiej oraz wywiadzie politycznym. Na celowniku napastników znajdują się przede wszystkim osoby pełniące kluczowe role w funkcjonowaniu państwa i społeczeństwa – od polityków i urzędników administracji publicznej, przez dziennikarzy, naukowców, aż po pracowników służb mundurowych oraz specjalistów np. biegłych sądowych.
Co ciekawe, logistyka tego ataku ujawnia pewną brutalną bezwzględność. Hakerzy często nie dysponują precyzyjną listą adresową i próbują „zgadywać” maile na podstawie zbieżności imion i nazwisk. Dlatego ich złośliwe wiadomości masowo lądują w także skrzynkach całkowicie przypadkowych obywateli. Gdy jednak uda im się skutecznie przejąć konto, mechanizm machiny szpiegowskiej rusza natychmiast. Skrzynka nie jest niszczona – jest skrupulatnie i po cichu przeszukiwana.
Atakujący polują na wrażliwe dokumenty, bazy kontaktów, które posłużą do wytypowania kolejnych ofiar, oraz powiązane konta w mediach społecznościowych. Te ostatnie są niezwykle cenne, bo przejęty profil znanej osoby publicznej staje się idealnym narzędziem do szerzenia dezinformacji. To stanowi oczywiście bezpośrednie zagrożenie dla bezpieczeństwa informacyjnego całego kraju.
Źródło: CERT Polska / Zdjęcie otwierające: Unsplash (@rubaitulazad)