Egy lengyel diplomata által feladott autóhirdetést használt fel az SZVR-hez köthető hackercsoport, hogy behatoljon a külföldi diplomaták számítógépeire.
Egy kiberbiztonsággal foglalkozó vállalat szerdán közzétett jelentése szerint az orosz külföldi hírszerzésnek dolgozó hackerek egy hamis használtautó-hirdetéssel több tucat, ukrajnai nagykövetségen dolgozó diplomatát céloztak meg, hogy betörjenek a számítógépeikre.
A széles körű kémtevékenység célpontjai az ukrán fővárosban, Kijevben működő mintegy 80 külképviselet közül legalább 22-ben dolgozó diplomaták voltak − áll a Palo Alto Networks Unit 42 kutatási részlegének elemzői által készített jelentésben.
A kampány egy ártalmatlan és legális eseménnyel kezdődött
− áll a jelentésben, amelyről először a Reuters számolt be.
2023. április közepén a lengyel külügyminisztérium egyik diplomatája egy legális hirdetést küldött e-mailben különböző nagykövetségeknek, amelyben egy Kijevben található használt BMW 5-ös sorozatú szedánt hirdetett meg.
A lengyel diplomata, aki biztonsági okokra hivatkozva nem kívánta magát megnevezni, megerősítette a hirdetés szerepét a hackertámadásokban.
Az APT29 vagy „Cozy Bear” néven ismert hackercsoport elfogta és lemásolta ezt a hirdetést, beágyazták egy rosszindulatú szoftverbe, majd elküldték többtucatnyi más, Kijevben dolgozó külföldi diplomatának − közölte a Unit 42.
Ezek óriási méretek az általában szűk körű és titkos, fejlett, tartós fenyegetésekkel kapcsolatos (APT) műveletekhez képest
− áll a jelentésben.
2021-ben az amerikai és brit hírszerző ügynökségek az APT29-et az orosz Külföldi Hírszerző Szolgálat, az SZVR egyik ágaként azonosították. Az SZVR nem válaszolt a Reuters megkeresésére, hogy kommentálja a hackertámadás tényét.
Áprilisban a lengyel kémelhárítás és a kiberbiztonsági hatóságok arra figyelmeztettek, hogy ugyanez a csoport „széles körű hírszerzési kampányt” folytatott a NATO-tagállamok, az Európai Unió és Afrika ellen.
A Unit 42 kutatói azért tudták a hamis autóreklámot az SZVR-hez kötni, mert a hackerek újra felhasználtak bizonyos eszközöket és technikákat, amelyeket korábban már a kémügynökséghez kapcsoltak.
„A diplomáciai képviseletek mindig is fontos célpontjai lesznek a kémtevékenységnek” − áll a Unit 42 jelentésében. „Tizenhat hónappal az orosz megszállás után az Ukrajnára és a szövetséges diplomatákra irányuló hírszerzési tevékenység kiemelt prioritást élvez az orosz kormány számára.”
A lengyel diplomata elmondta, hogy az eredeti hirdetést több kijevi nagykövetségre is elküldte, és valaki visszahívta, mert az ár „vonzónak” tűnt.
„Amikor utánanéztem, rájöttem, hogy az érdeklődők alacsonyabb árról beszéltek, mint amit én megadtam” − mondta a diplomata.
Kiderült, hogy az SZVR hackerei a hirdetés hamisított változatában alacsonyabb árat − 7500 eurót (2,8 millió forintot) − adtak meg a diplomata BMW-je mellett, hogy minél több embert arra ösztönözzenek, hogy töltse le a rosszindulatú szoftvert, amely távoli hozzáférést biztosít a készülékükhöz.
A Unit 42 szerint ez a szoftver a használt BMW fényképeit tartalmazó albumnak volt álcázva. A fényképek megnyitására tett kísérletek megfertőzték volna a célpont gépét.
A hackerek által célba vett és a Reuters által megkeresett 22 nagykövetség közül huszonegy nem nyilatkozott. Egyelőre nem világos, hogy pontosan mely nagykövetségeket támadták meg.
Az amerikai külügyminisztérium szóvivője azt mondta, hogy „tudtak a tevékenységről, és a kiberbiztonsági igazgatóság elemzése alapján megállapították, hogy az nem érintette a minisztérium rendszereit vagy fiókjait”.
Ami az autót illeti, az még mindig eladó − mondta a lengyel diplomata a Reutersnek.
Valószínűleg Lengyelországban próbálom meg eladni. Ez után a helyzet után nem akarok több problémát
− fogalmazott.