Χάκερς που θεωρούνται ύποπτοι ότι εργάζονται για την υπηρεσία εξωτερικών πληροφοριών της Ρωσίας στόχευσαν δεκάδες διπλωμάτες σε πρεσβείες στην Ουκρανία με μια ψεύτικη διαφήμιση μεταχειρισμένων αυτοκινήτων, σε μια προσπάθεια να παραβιάσουν τους υπολογιστές τους.
Η εκτεταμένη κατασκοπευτική δραστηριότητα είχε στόχο διπλωμάτες που εργάζονταν σε τουλάχιστον 22 από τις περίπου 80 ξένες αποστολές στην πρωτεύουσα της Ουκρανίας, το Κίεβο, ανέφεραν αναλυτές του ερευνητικού τμήματος Unit 42 της Palo Alto Networks στην έκθεση που παρουσιάζει το Reuters και η οποία αναμένεται να δημοσιευθεί αργότερα την Τετάρτη.
Russian hackers lured embassy workers in Ukraine with an ad for a cheap BMW https://t.co/KqKupRYqhz
— Ernest Scheyder (@ErnestScheyder) July 12, 2023
«Η ιστορία ξεκίνησε με ένα αθώο και νόμιμο γεγονός», αναφέρεται στην έκθεση. «Στα μέσα Απριλίου του 2023, ένας διπλωμάτης του πολωνικού υπουργείου Εξωτερικών έστειλε με ηλεκτρονικό ταχυδρομείο ένα νόμιμο φυλλάδιο σε διάφορες πρεσβείες που διαφήμιζε την πώληση ενός μεταχειρισμένου BMW 5-series sedan που βρισκόταν στο Κίεβο».
Ο Πολωνός διπλωμάτης, ο οποίος αρνήθηκε να κατονομαστεί επικαλούμενος λόγους ασφαλείας, επιβεβαίωσε τον ρόλο της διαφήμισής του στην ψηφιακή εισβολή.
Οι χάκερ, γνωστοί ως APT29 ή "Cozy Bear", υπέκλεψαν και αντέγραψαν το εν λόγω φυλλάδιο, τού ενσωμάτωσαν κακόβουλο λογισμικό και στη συνέχεια το έστειλαν σε δεκάδες άλλους ξένους διπλωμάτες που εργάζονται στο Κίεβο, δήλωσε η Unit 42.
«Αυτό είναι συγκλονιστικό σε έκταση για κάτι που γενικά είναι περιορισμένης εμβέλειας», ανέφερε η έκθεση.
Το 2021, οι αμερικανικές και βρετανικές υπηρεσίες πληροφοριών αναγνώρισαν την APT29 ως βραχίονα της ρωσικής υπηρεσίας εξωτερικών πληροφοριών, της SVR.
Τον Απρίλιο, οι πολωνικές αρχές αντικατασκοπείας και κυβερνοασφάλειας προειδοποίησαν ότι η ίδια ομάδα είχε πραγματοποιήσει μια «εκτεταμένη εκστρατεία hacking» εναντίον κρατών μελών του ΝΑΤΟ, της Ευρωπαϊκής Ένωσης και της Αφρικής.
Οι ερευνητές της Unit 42 μπόρεσαν να συνδέσουν την ψεύτικη διαφήμιση αυτοκινήτου με την SVR, επειδή οι χάκερς επαναχρησιμοποίησαν ορισμένα εργαλεία και τεχνικές που έχουν συνδεθεί στο παρελθόν με την κατασκοπευτική υπηρεσία.
«Οι διπλωματικές αποστολές θα αποτελούν πάντα στόχο κατασκοπείας υψηλής αξίας», αναφέρει η έκθεση της Unit 42. "Δεκαέξι μήνες μετά τη ρωσική εισβολή στην Ουκρανία, οι πληροφορίες γύρω από την Ουκρανία και οι συμμαχικές διπλωματικές προσπάθειες είναι σχεδόν σίγουρα υψηλή προτεραιότητα για τη ρωσική κυβέρνηση».
Μεταχειρισμένη BMW
Ο Πολωνός διπλωμάτης δήλωσε ότι είχε στείλει την αρχική αγγελία σε διάφορες πρεσβείες στο Κίεβο και ότι κάποιος τον είχε καλέσει πίσω επειδή η τιμή φαινόταν «ελκυστική».
«Όταν το έλεγξα, συνειδητοποίησα ότι μιλούσαν για μια ελαφρώς χαμηλότερη τιμή», δήλωσε ο διπλωμάτης στο Reuters.
Οι χάκερς της SVR, όπως αποδείχθηκε, είχαν καταχωρίσει την BMW του διπλωμάτη σε χαμηλότερη τιμή - 7.500 ευρώ - στην ψεύτικη εκδοχή της διαφήμισης, σε μια προσπάθεια να ενθαρρύνουν περισσότερους να κατεβάσουν κακόβουλο λογισμικό που θα τους έδινε απομακρυσμένη πρόσβαση στις συσκευές τους.
Αυτό το λογισμικό, σύμφωνα με τη Μονάδα 42, είχε ως «βιτρίνα» σε ένα άλμπουμ με φωτογραφίες της μεταχειρισμένης BMW. Οι απόπειρες ανοίγματος αυτών των φωτογραφιών θα μόλυναν το του στόχου, αναφέρει η έκθεση.