Analitycy międzynarodowej firmy Mandiant, która zajmuje się cyberbezpieczeństwem, ustalili, że wyciek maili pochodzących m.in. ze skrzynki ministra Michała Dworczyka jest związany hakerami powiązanymi z Białorusią.
Zdaniem specjalistów z Mandiant, cyberoperację Ghostwriter, w ramach której publikowane są maile polskich polityków, obsługuje zespół hakerów określanych jako UNC1151. „Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki” – napisano w komunikacie firmy. Pomimo, że analitycy Mandiant nie odkryli bezpośrednich dowodów to nie wykluczają „rosyjskiego wkładu w UNC1151 i Ghostwriter”.
Mandiant ustalił również, że celem hakerów były instytucje i prywatne podmioty na Ukrainie, Litwie, Łotwie, w Polsce i Niemczech, a także m.in. białoruscy opozycjoniści. W raporcie Mandiant podkreślono, że elementem działania hakerów było podszywanie się pod popularne domeny – w Polsce były to na przykład portale internetowe oferujące także usługi pocztowe – w celu wyłudzania danych dostępowych.
Według firmy, początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 roku, a cyberszpiegowskiej – 2017.