Hackerii ruși nu stau degeaba: cum au păcălit un diplomat care voia sa cumpere un BMW
Hackerii suspectați că lucrează pentru agenția rusă de informații externe au vizat zeci de diplomați de la ambasadele din Ucraina cu un anunț fals pentru mașini second hand, în încercarea de a sparge computerele lor.
Activitatea de spionaj de anvergură a vizat diplomații care lucrează în cel puțin 22 din cele aproximativ 80 de misiuni străine din capitala Ucrainei, Kiev, au declarat analiștii diviziei de cercetare a Unității 42 a Rețelelor Palo Alto în raport.
„Campania a început cu un eveniment inofensiv și legitim”, se spune în raport. „La mijlocul lunii aprilie 2023, un diplomat din cadrul Ministerului polonez al Afacerilor Externe a trimis prin e-mail un fluturaș legitim către diferite ambasade în care anunța vânzarea unui sedan BMW seria 5 second-hand situat în Kiev”.
Diplomatul polonez, care a refuzat să fie identificat invocând preocupări de securitate, a confirmat rolul reclamei sale în intruziunea digitală.
Hackerii, cunoscuți sub numele de APT29 sau „Cozy Bear”, au interceptat și copiat acel fluturaș, l-au încorporat cu software rău intenționat, apoi l-au trimis altor zeci de diplomați străini care lucrează la Kiev, a spus Unitatea 42.
„Acest lucru este uimitor în domeniul de aplicare a ceea ce sunt, în general, operațiuni clandestine de amenințare persistentă avansată (APT)”, a spus raportul, folosind un acronim adesea folosit pentru a descrie grupurile de spionaj cibernetic susținute de stat.
În 2021, agențiile de informații din SUA și Marea Britanie au identificat APT29 ca o componentă a Serviciului de Informații Externe al Rusiei, SVR.
În aprilie, autoritățile poloneze de contrainformații și de securitate cibernetică au avertizat că același grup a desfășurat o „campanie de informații pe scară largă” împotriva statelor membre NATO, a Uniunii Europene și a Africii.
Cercetătorii de la Unitatea 42 au reușit să lege anunțul de mașină fals înapoi la SVR, deoarece hackerii au refolosit anumite instrumente și tehnici care au fost conectate anterior cu agenția de spionaj.
„Misiunile diplomatice vor fi întotdeauna o țintă de spionaj de mare valoare”, se arată în raportul Unității 42. „La șaisprezece luni de la invazia rusă a Ucrainei, informațiile care înconjoară Ucraina și eforturile diplomatice aliate sunt aproape sigur o prioritate ridicată pentru guvernul rus”.
BMW UZAT
Diplomatul polonez a spus că a trimis reclama inițială la diferite ambasade din Kiev și că cineva l-a sunat înapoi pentru că prețul părea „atractiv”.
„Când am verificat, mi-am dat seama că vorbeau despre un preț ceva mai mic”, a declarat diplomatul pentru Reuters.
Se pare că hackerii SVR listaseră BMW-ul diplomatului la un preț mai mic – 7.500 de euro – în versiunea lor falsă a reclamei, în încercarea de a încuraja mai mulți oameni să descarce software rău intenționat care să le ofere acces de la distanță la dispozitivele lor.
Acel software, a spus Unitatea 42, a fost deghizat ca un album de fotografii ale BMW-ului folosit. Încercările de a deschide acele fotografii ar fi infectat mașina țintei, se arată în raport.
Douăzeci și una dintre cele 22 de ambasade vizate de hackeri și contactate ulterior de Reuters nu au oferit comentarii. Nu era clar care ambasade, dacă există, au fost compromise.
Un purtător de cuvânt al Departamentului de Stat al Statelor Unite a declarat că sunt „conștienți de activitate și, pe baza analizei Direcției de Securitate Cibernetică și Tehnologică, a constatat că nu afectează sistemele sau conturile Departamentului”.
În ceea ce privește mașina, aceasta era încă disponibilă, a declarat diplomatul polonez pentru Reuters:
„Voi încerca să o vând în Polonia, probabil”, a spus el. „După această situație, nu vreau să mai am probleme”.