Ρώσοι χάκερς δελέασαν ξένους διπλωμάτες με... ψεύτικη αγγελία αυτοκινήτου!
Η ευρείας κλίμακας κατασκοπευτική δραστηριότητα στόχευε διπλωμάτες που εργάζονται σε τουλάχιστον 22 από τις περίπου 80 ξένες αποστολές στην πρωτεύουσα Κίεβο της Ουκρανίας, αναφέρουν οι αναλυτές της ερευνητικής Μονάδας 42 της Palo Alto Networks, σε έκθεσή τους.
«Η καμπάνια άρχισε με ένα αθώο και νόμιμο περιστατικό», αναφέρεται στην έκθεση, που έχει στην διάθεσή του το πρακτορείο Reuters.
«Στα μέσα Απριλίου, ένας διπλωμάτης του υπουργείου Εξωτερικών της Πολωνίας έστειλε με e-mail σε αρκετές πρεσβείες ένα νόμιμο φυλλάδιο με το οποίο διαφήμιζε την πώληση μεταχειρισμένου BMW που βρισκόταν στο Κίεβο».
Ο Πολωνός διπλωμάτης, που ζήτησε ανωνυμία επικαλούμενος λόγους ασφαλείας, επιβεβαίωσε ότι ήταν αυτός που προώθησε ηλεκτρονικά την διαφήμιση του αυτοκινήτου του.
Οι χάκερς που είναι γνωστοί ως APT29 ή «Ευχάριστη αρκούδα», παρενέβησαν και αντέγραψαν την διαφήμιση αυτή, στην οποία πρόσθεσαν κακόβουλο λογισμικό και εν συνεχεία την έστειλαν σε δεκάδες άλλους ξένους διπλωμάτες που εργάζονται στον Κίεβο, όπως ανακοίνωσε η Μονάδα 42.
Το 2021 οι αμερικανικές και βρετανικές υπηρεσίες πληροφοριών ταυτοποίησαν την APT29 ως έναν βραχίονα της ρωσικής Υπηρεσίας Εξωτερικής Κατασκοπείας SRV. Η SRV δεν ανταποκρίθηκε στο αίτημα του Reuters να σχολιάσει την δραστηριότητα των χάκερς.
Τον Απρίλιο οι πολωνικές υπηρεσίας αντικατασκοπείας και κυβερνοασφάλειας είχαν προειδοποιήσει ότι η ίδια ομάδα είχε σχέση με μια «ευρείας κλίμακας επιχείρηση μυστικών υπηρεσιών» εναντίον χωρών μελών του ΝΑΤΟ, της Ευρωπαϊκής Ένωσης και χωρών της Αφρικής.
Οι ερευνητές της Μονάδας 42 κατάφεραν να εντοπίσουν την σχέση που είχε η ψεύτικη διαφήμιση του αυτοκινήτου με την SVR, επειδή οι χάκερς χρησιμοποίησαν εκ νέου ορισμένα εργαλεία και τεχνικές που είχαν συνδεθεί στο παρελθόν με την υπηρεσία κατασκοπείας.
«Οι διπλωματικές αποστολές θα αποτελούν πάντα στόχο κατασκοπείας υψηλής αξίας», αναφέρει η έκθεση της Μονάδας 42. «Δεκαέξι μήνες μετά τη ρωσική εισβολή στην Ουκρανία, οι πληροφορίες που περιβάλλουν την Ουκρανία και τις διπλωματικές προσπάθειες των συμμάχων αποτελούν σχεδόν σίγουρα υψηλή προτεραιότητα για τη ρωσική κυβέρνηση».
Η μεταχειρισμένη BMW
Ο Πολωνός διπλωμάτης δήλωσε ότι είχε στείλει την αρχική αγγελία σε διάφορες πρεσβείες στο Κίεβο και ότι κάποιος τον είχε καλέσει επειδή η τιμή φαινόταν «ελκυστική».
«Όταν το έλεγξα, συνειδητοποίησα ότι μιλούσαν για ελαφρώς χαμηλότερη τιμή», δήλωσε ο διπλωμάτης στο Reuters.
Οι χάκερς της SVR, προσποιούνταν στην ψεύτικη εκδοχή της διαφήμισης τους, ότι πουλούσαν την BMW του διπλωμάτη σε χαμηλότερη τιμή, στα 7.500 ευρώ, σε μια προσπάθεια να προτρέψουν περισσότερα άτομα να κατεβάσουν το κακόβουλο λογισμικό που θα τους έδινε πρόσβαση στους υπολογιστές τους, αναφέρει το Reuters.
Το εν λόγω λογισμικό, όπως ανέφερε η Μονάδα 42, είχε την μορφή ενός άλμπουμ φωτογραφιών με μεταχειρισμένα αυτοκίνητα BMW. Οι προσπάθειες ανοίγματος των φωτογραφιών θα είχε ως αποτέλεσμα να μολυνθούν οι υπολογιστές των χρηστών-στόχων, αναφέρεται στην έκθεση των αναλυτών εταιρείας.
Οι 21 από τις 22 πρεσβείες που έγιναν στόχοι των χάκερς και με τις οποίες επικοινώνησε το Reuters δεν προέβησαν σε σχόλια. Δεν είναι σαφές ποιες πρεσβείες, αν υπήρχαν, είχαν υποστεί παραβιάσεις από τους χάκερς.
Εκπρόσωπος του Στέιτ Ντιπάρτμεντ δήλωσε ότι «ήταν ενήμεροι για τη δραστηριότητα αυτή και με βάση την ανάλυση της Διεύθυνσης Ασφάλειας Κυβερνοχώρου και Τεχνολογίας διαπίστωσαν ότι δεν επηρέασε τα συστήματα ή τους λογαριασμούς του Στέιτ Ντιπάρτμεντ».
Όσον αφορά στο αυτοκίνητο, είναι ακόμη διαθέσιμο, δήλωσε στο Reuters ο Πολωνός διπλωμάτης.
«Πιθανώς θα προσπαθήσω να το πουλήσω στην Πολωνία» είπε. «Έπειτα από αυτό που συνέβη δεν θέλω να έχω περισσότερα προβλήματα».