Активність російських кіберзлочинців стрімко зросла після початку повномасштабної війни росії проти України. Так, в нещодавньому інциденті хакери, які працюють за завданням російської зовнішньої розвідки, атакували дипломатів в українських посольствах за допомогою оголошення про продаж дешевого BMW.
За даними дослідницького підрозділу Palo Alto Networks Unit 42, десятки дипломатів, які працюють у щонайменше 22 з приблизно 80 іноземних представництв у Києві, стали об’єктами кібератак.
Кампанія розпочалася ще весною, коли дипломат Міністерства закордонних справ Польщі надіслав електронною поштою до різних посольств цілком безпечний флаєр, в якому повідомлялося про продаж вживаного седана BMW 5-ї серії, що знаходиться в Києві. Проте хакери перехопили та скопіювали листівку, вбудувавши в неї шкідливе програмне забезпечення, після чого розіслали її десяткам інших дипломатів у Києві.
Відповідальна за це група APT29, також відома як “Cozy Bear”, є підрозділом Служби зовнішньої розвідки росії. Вважається, що вона стоїть за численними гучними хакерськими інцидентами, включаючи атаку з вимогою викупу на стороннього постачальника послуг Національного комітету Республіканської партії Synnex Corp, вторгнення в мережу Демократичної партії, злом системи FireEye та багато інших.
Підрозділ зміг відстежити змінену рекламу автомобілів до Служби зовнішньої розвідки, оскільки хакери повторно використовували певні інструменти та методи, які раніше були пов’язані з їхньою роботою. “Дипломатичні місії завжди будуть цінними об’єктами шпигунства, – йдеться у звіті Unit 42. – Через 16 місяців після початку повномаштабного вторгнення росії в Україну розвідка навколо України та дипломатичних зусиль союзників майже напевно є першочерговим пріоритетом для російського уряду”.
Cozy Bear змінив рекламу не лише додаванням шкідливого програмного забезпечення. Хакери також вказали нижчу ціну на BMW – €7500 ($8292), щоб зробити його привабливішим для потенційних покупців. Тоді вони перейшли б за посиланням до альбому з фотографіями автомобіля й несвідомо завантажили б шкідливе ПЗ і тим самим дозволили б зловмисникам отримати віддалений доступ до їхніх пристроїв.
Представник Державного департаменту США заявив, що йому відомо про цю діяльність, і що вона не вплинула на системи або облікові записи департаменту.
У березні були оприлюднені файли московського оборонного підрядника, які показують, як компанія працює з російськими військовими та розвідувальними службами, допомагаючи їм у хакерських операціях, навчанні оперативників, поширенні дезінформації та скануванні інтернету на наявність вразливостей. А через місяць вже Microsoft попередила про російських агентів, які намагаються проникнути в ігрові спільноти.
Читайте також: