Reklama BMW polskiego dyplomaty została wykorzystana jako przynęta przez rosyjskich hakerów
Otrzymuj bezpłatne aktualizacje Cyberwojny
Wyślemy Ci Codzienny przegląd myFT e-mail z podsumowaniem najnowszych Wojna cybernetyczna wiadomości każdego ranka.
Hakerzy powiązani z rosyjskimi służbami szpiegowskimi przejęli reklamę polskiego dyplomaty, aby sprzedać swoje BMW, rozpowszechniając złośliwe oprogramowanie w celu infiltracji sieci zagranicznych ambasad na Ukrainie.
Dyplomata z Kijowa wysłał tej wiosny e-mailem ogłoszenie o swoim samochodzie BMW serii 5 z 2011 roku do dziesiątek innych ambasad.
Według badaczy z Unit 42 — części kalifornijskiej firmy zajmującej się bezpieczeństwem cybernetycznym Palo Alto Networks — w ciągu dwóch tygodni hakerzy zmienili przeznaczenie reklamy, obniżyli cenę i uzupełnili ogłoszenie złośliwym oprogramowaniem.
Celem było zachęcenie odbiorców do klikania zdjęć granatowego sedana za 7500 euro ze skórzanymi wykończeniami i dwulitrowym silnikiem Diesla, aby umożliwić hakerom potajemną kradzież danych, a także przyszłego dostępu do sieci ambasad.
Zhakowana reklama w całości
Naukowcy twierdzą, że osoby odpowiedzialne – które wysłały zmienioną reklamę do 22 misji dyplomatycznych w Kijowie – były częścią jednostki hakerskiej o pseudonimie Cosy Bear, która jest powiązana z rosyjską Służbą Wywiadu Zagranicznego (SVR).
Zachodni urzędnicy powiązali Cosy Bear z naruszeniami Narodowego Komitetu Demokratów USA w 2016 r. i Republikańskiego Komitetu Narodowego w 2021 r.
Naukowcy twierdzą, że Cosy Bear wykorzystał reklamę BMW do ukrycia tak zwanego spear-phishingu, aby zainstalować tylne drzwi w sieciach ambasad, co jest oznaką wyrafinowania działań szpiegowskich Moskwy.
Spear-phishing polega na tworzeniu kuszących linków, w które nawet ostrożni odbiorcy mogą zostać skłonni kliknąć. Poprzednie przykłady obejmowały e-maile wysłane w tym roku do ambasad w Kijowie, które rzekomo zawierały szczegółowe informacje na temat wysiłków Turcji w zakresie pomocy w przypadku trzęsienia ziemi. Poprzednie przykłady obejmowały e-maile wysłane w tym roku do ambasad w Kijowie, które rzekomo zawierały szczegółowe informacje na temat wysiłków Turcji w zakresie pomocy w przypadku trzęsienia ziemi.
„Chodzi o to, żeby ich wciągnąć – zwłaszcza na Ukrainie. . . gdzie chcą maksymalnie wykorzystać swoje haki, a później nadać temu sens” – powiedział Michael Sikorski, wiceprezes Unit 42, który określił hakerów jako „niezwykłych”.
Rosyjscy hakerzy stoją za niektórymi z najbardziej wyrafinowanych złośliwych programów widzianych przez zachodnich badaczy © Bildagentur/Alamy
Nie wiadomo, czy którakolwiek z docelowych misji została pomyślnie zinfiltrowana. Przeszukanie amerykańskich systemów w Kijowie w tym miesiącu nic nie wykazało, powiedziały dwie osoby zaznajomione ze sprawą.
Zachodnie firmy zajmujące się bezpieczeństwem cybernetycznym, w tym Palo Alto Networks, Microsoft, Dragos i inne, mają kontrakty na ochronę ukraińskich klientów. Zwykle wiąże się to z obserwacją dużej części danych przesyłanych przez sieci.
Sikorski powiedział, że w miarę rozpowszechniania e-maili ze złośliwym oprogramowaniem badacze z Jednostki 42 zauważyli coś nie tak z załącznikiem i ostrzegli docelowe misje w ciągu kilku dni. Odmówił omówienia szczegółów tych rozmów.
Polski dyplomata odmówił komentarza, podobnie jak polska ambasada. Samochód pozostaje niesprzedany.
Rosyjscy hakerzy zalali ukraińskie sieci jeszcze przed pełną inwazją w lutym 2022 r., dzierżąc jedne z najbardziej wyrafinowanych złośliwych programów zaobserwowanych przez zachodnich badaczy.
Odcięli dostęp do satelitarnego systemu internetowego sprzedawanego przez amerykańską firmę i wyczyścili dane z państwowych pociągów i systemów imigracyjnych na początku wojny.
Amerykańskie i europejskie firmy ochroniarskie, czasami opłacane przez sojuszników Ukrainy, pomogły udaremnić ataki na krajową sieć energetyczną, systemy wojskowe i sieć bankową.
Niepokój budzą jednak umiejętności rosyjskich hakerów w zakresie phishingu. Jeden e-mail przechwycony w zeszłym roku zawierał arkusz kalkulacyjny obiecujący szczegółowe informacje o zabitych i rannych ukraińskich żołnierzach.
Podobno został wysłany przez pomyłkę, co utrudnia odbiorcom powstrzymanie się przed kliknięciem czegoś, co zapowiadało się na bolesną tajemnicę narodową.
Ciągły dostęp do e-maili ambasady stworzył nowe ryzyko, powiedział Sikorski, teraz, gdy hakerzy mogą zmienić przeznaczenie systemów AI, takich jak ChatGPT, aby trenować styl istniejących rozmów.
„Teraz wiemy, że prawdopodobnie mają dostęp do skrzynek odbiorczych ludzi, a następnie mogą nawet trenować rozmowy, które prowadziłeś z ludźmi w przeszłości” — powiedział.
Dodatkowe raporty Christophera Millera w Kijowie
