Egy használt autó hirdetés az orosz kiberháború legújabb fegyvere

Az APT29 vagy "Cozy Bear" néven ismert hackerek lemásoltak egy lengyel diplomata által készített szórólapot, rosszindulatú szoftvert raktak bele, majd elküldték több tucatnyi más, Kijevben dolgozó külföldi diplomatának.

"A kampány egy ártalmatlan és törvényes eseménnyel kezdődött" - kezdődik a Unit 42 kiberbiztonsági cég jelentése. 2023. április közepén a lengyel külügyminisztérium egyik Kijevben állomásozó diplomatája egy hirdetést küldött el e-mailben az országban dolgozó kollégáinak, azaz különböző nagykövetségeknek, amelyben használt BMW 5-ös szedánját árulta. Az APT29 vagy "Cozy Bear" néven ismert hackerek elfogták és lemásolták ezt a szórólapot, rosszindulatú szoftvert ágyaztak bele, majd elküldték több tucatnyi más, Kijevben dolgozó külföldi diplomatának. A lengyel diplomata - aki biztonsági okokra hivatkozva nem kívánta magát megnevezni - megerősítette a hirdetés szerepét a digitális behatolásban.

Az ukrán fővárosban működő mintegy 80 külképviselet közül 22-t céloztak meg, ezekben több száz ember dolgozik - áll a Palo Alto Networks kutatási részlege által készített jelentésben. "Ez megdöbbentően átfogó mértékű az általában szűk körű és titkos műveletekhez képest" - írják. Az amerikai és brit hírszerző ügynökségek 2021-ben az APT29-et az orosz Külföldi Hírszerző Szolgálat, az SVR egyik ágaként azonosították. Áprilisban a lengyel kémelhárítás és kiberbiztonsági hatóságok arra figyelmeztettek, hogy ugyanez a csoport "széles körű hírszerzési kampányt" folytatott a NATO-tagállamok, az Európai Unió és Afrika ellen.


A Unit 42 kutatói azért tudták a hamis autóreklámot az SVR-hez kötni, mert a hackerek újra felhasználtak bizonyos eszközöket és technikákat, amelyeket korábban a kémügynökséghez kapcsoltak. "A diplomáciai képviseletek mindig is nagy értékű kémkedési célpontok lesznek" - áll a Unit 42 jelentésében. "Tizenhat hónappal Ukrajna orosz megszállása után az Ukrajnát és a szövetséges diplomáciai erőfeszítéseket övező hírszerzés szinte biztosan kiemelt prioritást élvez az orosz kormány számára".

A lengyel diplomata elmondta, hogy az eredeti hirdetést több kijevi nagykövetségre is elküldte, és valaki visszahívta, mert az ár "vonzónak" tűnt. "Amikor utánanéztem, rájöttem, hogy valamivel alacsonyabb árról beszéltek" - mondta a diplomata a Reutersnek. Kiderült, hogy az SVR hackerei a hirdetés hamisított változatában alacsonyabb áron - 7500 euróért - tüntették fel a diplomata BMW-jét, hogy minél több embert arra ösztönözzenek, hogy töltsön le egy rosszindulatú szoftvert, amely távoli hozzáférést biztosít a készülékükhöz. A szoftver a használt BMW fényképeit tartalmazó albumnak volt álcázva. A fényképek megnyitására tett kísérletek megfertőzték volna a célpont gépét.


A nagyfelbontású fotók letöltésekor egy kártevő is a gépre kerül
Nem volt világos, hogy mely nagykövetségeket támadták meg, mert a hackerek által célba vett és a Reuters által megkeresett 22 nagykövetség közül huszonegy nem nyilatkozott. Az amerikai külügyminisztérium szóvivője azt mondta, hogy "tudtak a tevékenységről, és a kiber- és technológiai biztonsági igazgatóság elemzése alapján megállapították, hogy az nem érintette a minisztérium rendszereit vagy fiókjait". Ami az autót illeti, az még mindig eladó - mondta a lengyel diplomata a Reutersnek. "Valószínűleg megpróbálom eladni Lengyelországban" - mondta. "Ez után az eset után nem akarok több problémát."