Hakeri osumnjičeni da rade za rusku spoljnu obaveštajnu agenciju ciljali su na desetine diplomata u ambasadama u Ukrajini lažnim oglasom za polovni automobil u pokušaju da provale u njihove računare, navodi se u izveštaju firme za sajber bezbednost objavljenom u sredu.
Široka špijunska aktivnost bila je usmerena na diplomate koji rade u najmanje 22 od otprilike 80 stranih misija u glavnom gradu Ukrajine, Kijevu, navode analitičari istraživačkog odeljenja 42 kompanije Palo Alto Netvorks u izveštaju.
„Kampanja je počela bezazlenim i legitimnim događajem“, navodi se u izveštaju, koji je prvi preneo Rojters.
„Sredinom aprila 2023. godine, diplomata iz poljskog Ministarstva spoljnih poslova poslao je e-poštom legitiman letak raznim ambasadama u kojem je reklamirao prodaju polovnog BMV-a serije 5 koji se nalazi u Kijevu.
Poljski diplomata, koji je odbio da bude identifikovan, pozivajući se na bezbednosne brige, potvrdio je ulogu njegove reklame u digitalnom upadu.
Hakeri, poznati kao APT29 ili „Udobni medved“, presreli su i kopirali taj letak, ugradili ga zlonamernim softverom, a zatim ga poslali desetinama drugih stranih diplomata koji rade u Kijevu, saopštila je Jedinica 42.
„Ovo je zapanjujuće po obimu za ono što su generalno usko obimne i tajne operacije napredne persistentne pretnje (APT)“, navodi se u izveštaju, koristeći akronim koji se često koristi za opisivanje grupa za sajber špijunažu koje podržava država.
Godine 2021, američke i britanske obaveštajne agencije identifikovale su APT29 kao ogranak ruske spoljne obaveštajne službe, SVR. SVR nije odgovorio na zahtev Rojtersa za komentar o kampanji hakovanja.
U aprilu su poljske kontraobaveštajne i službe za sajber bezbednost upozorile da je ista grupa sprovela „široko rasprostranjenu obaveštajnu kampanju“ protiv država članica NATO-a, Evropske unije i Afrike.
Istraživači u Jedinici 42 uspeli su da povežu lažnu reklamu za automobil sa SVR-om jer su hakeri ponovo koristili određene alate i tehnike koje su ranije bile povezane sa špijunskom agencijom.
„Diplomatske misije će uvek biti meta špijunaže visoke vrednosti“, navodi se u izveštaju Jedinice 42. „Šesnaest meseci nakon ruske invazije na Ukrajinu, obaveštajni podaci oko Ukrajine i saveznički diplomatski napori su gotovo sigurno visoki prioritet za rusku vladu.
Poljski diplomata je rekao da je originalni oglas poslao raznim ambasadama u Kijevu i da ga je neko zvao jer mu je cena izgledala „privlačno“.
„Kada sam proverio, shvatio sam da govore o nešto nižoj ceni“, rekao je diplomata Rojtersu.
Ispostavilo se da su SVR hakeri u lažnoj verziji oglasa naveli diplomatov BMV po nižoj ceni – 7.500 evra, u pokušaju da podstaknu više ljudi da preuzmu zlonamerni softver koji bi im omogućio daljinski pristup njihovim uređajima, piše Rojters.
Taj softver, rekao je Jedinica 42, bio je prerušen u album sa fotografijama polovnih BMV-a. Pokušaji otvaranja tih fotografija zarazili bi mašinu mete, navodi se u izveštaju.
Dvadeset i jedna od 22 ambasade na meti hakera i koje je kasnije kontaktirao Rojters nije dala komentar. Nije bilo jasno koje su ambasade, ako ih je bilo, kompromitovane.
Portparol američkog Stejt departmenta rekao je da su „svesni aktivnosti i da su na osnovu analize Uprave za sajber i tehnološku bezbednost otkrili da to nije uticalo na sisteme ili račune Odeljenja“.
Što se tiče automobila, on je još uvek bio dostupan, rekao je poljski diplomata Rojtersu.
