Hackeri suspectaţi că lucrează pentru serviciu de spionaj al Rusiei au trimis către zeci de angajaţi ai unor ambasade din Ucraina o falsă ofertă auto, pentru a obţine ilegal accesul în computerele acestora, transmite Reuters, preluat de Agerpres.
Conform unui raport al firmei de securitate informatică Palo Alto Networks, consultat de agenţie înainte de publicare, ţintele atacurilor au fost diplomaţi din cel puţin 22 dintre cele circa 80 de misiuni străine din Kiev.
Conform documentului întocmit de Unitatea 42, divizia de cercetare a companiei, „campania a început cu un eveniment inofensiv şi legitim. La jumătatea lui 2023, un diplomat din Ministerul de Externe polonez a trimis prin e-mail către mai multe ambasade un anunţ legitim care făcea reclamă vânzării unui sedan BMW seria 5 la mâna a doua, aflat în Kiev”.
Diplomatul polonez, care a cerut să nu fie identificat din motive de securitate, a confirmat rolul anunţului său în atacul informatic. El a declarat agenţiei Reuters că a trimis mesajul original către mai multe ambasade şi a fost sunat de cineva deoarece preţul părea atractiv. „Când am verificat, mi-am dat seama că vorbeşte de un preţ ceva mai mic”.
Cum au operat hackerii Cozy Bear
Grupul de hackeri cunoscut sub numele APT29 sau Cozy Bear a interceptat anunţul, a încorporat în el un software nociv şi l-a trimis către zeci de diplomaţi din capitala ucraineană, arată Unitatea 42.
În anunţul falsificat, automobilul BMW era oferit la numai 7500 de euro, mai puţin decât în mesajul iniţial, pentru a încuraja mai mulţi destinatari să descarce software-ul rău intenţionat care le permitea hackerilor accesul de la distanţă în dispozitive. Aparent era vorba de un album de fotografii ale automobilului, dar încercările de a le deschide ar fi infectat dispozitivul ţintă.
Experţii Palo Alto Networks apreciază că „amploarea este uluitoare pentru o ameninţare persistentă avansată (API) care este de obicei este restrânsă şi clandestină”. Reuters remarcă folosirea acronimului API (advanced persistent threat), prin care sunt desemnate frecvent grupurile de spionaj informatic susţinute de state.
Serviciile de informaţii americane şi britanice au identificat în 2021 APT29 ca instrument al SVR, agenţia de spionaj a Rusiei. SVR nu a răspuns la cererea Reuters de a comenta campania hackerilor.
Unitatea 42 a reuşit să facă legătura dintre falsul anunţ auto şi SVR deoarece hackerii au reutilizat anumite instrumente şi tehnici deja atribuite spionajului rus.
„Campanie de spionaj extinsă”
Contraspionajul şi autorităţile de securitate informatică din Polonia au avertizat în aprilie că APT29 a dus o „campanie de spionaj extinsă” împotriva unor state membre ale NATO sau ale Uniunii Europene şi a unor ţări din Africa.
„Misiunile diplomatice vor fi întotdeauna o ţintă de mare valoare pentru spionaj. La 16 luni de la începutul invaziei ruse în Ucraina, spionajul din jurul eforturilor diplomatice ucrainene şi aliate este cu siguranţă o prioritate de nivel ridicat pentru guvernul rus”, apreciază Unitatea 42.
Dintre cele 22 de ambasade atacate, 21 nu au răspuns întrebărilor Reuters şi nu este clar dacă securitatea lor a fost afectată. Un purtător de cuvânt al Departamentului de Stat american a afirmat că instituţia sa „ştie despre activitate şi pe baza analizei Directoratului pentru Securitate Informatică şi Tehnologică a stabilit că nu au fost afectate sistemele sau conturile Departamentului”.
Automobilul BMW este în continuare de vânzare, dar diplomatul care îl oferă a declarat agenţiei Reuters că probabil va încerca să îl vândă în Polonia. „După situaţia aceasta, nu vreau să mai am probleme”, a spus el.