Хакеры из РФ атаковали дипломатов в Киеве, используя "евробляху": что из этого вышло
Жертвой фейкового объявления от настоящего дипломата из Польши могли стать представители 22 посольств.
Желание обычного польского дипломата, служащего в Киеве, продать подержанную BMW превратилось в кибердетектив, сообщает Reuters. Хакерская группировка APT29, которую спецслужбы США и Великобритании связывают с Главным разведывательным управление России, смогли перехватить объявление и внедрить в него зловредный код, чтобы заразить его коллег по дипломатической службе.
Группировка ATP29 (также известная, как Cozy Bear) известна своими атаками на западные госучреждения. Этим хакерам приписывают атаки против стран-членов НАТО, Европейского Союза и Африки.
Обычная продажа BMW превращается в ловушку
Польский дипломат просто хотел продать свой подержанный BMW, а чтобы снизить риски и избежать потока покупателей — разослал свое объявление о продаже коллегам в различные посольства в Киеве. Но желание мужчины разместить рекламу "среди своих", вероятно, привело к хакерскому взлому дипучреждений.
По данным СМИ, хакеры группировки APT29 перехватили письмо с объявлением, внедрили в него зловредный код и дальше отправили предполагаемым получателям. Ничего не подозревающий работник посольства в Киеве насторожился после того, как к нему стали поступать звонки от коллег, которые акцентировали свое внимание на низкой стоимости машины. Хакеры поменяли ценник на более низкий, чтобы привлечь жертв и заставить их открыть прилагающийся к письму "зараженный" вирусом фотоальбом с изображениями BMW.
Что на самом деле было в объявлении
В перехваченное послание польского дипломата кибертеррористы из APT29 внедрили зловредный код, который активируется сразу после того, как жертва откроет прикрепленный к письму фотоальбом. После чего хакеры могут получить полный контроль над компьютером жертвы.
Принадлежность киберпреступников именно к APT29 удалось определить благодаря анализу зараженных файлов в фотоальбоме. Эксперты из Unit 42, которые занимаются кибербезопасностью, идентифицировали хакерскую группировку по методам и инструментам, использованным при заражении файлов. Они объяснили, что каждая группа хакеров имеет своеобразный уникальный "почерк", который невозможно скрыть, как бы они не старались.
"Дипломатические миссии всегда были и будут важной целью шпионажа", — говорится в отчете Unit 42. — "Шестнадцать месяцев после российского вторжения в Украину, разведывательные данные вокруг Украины и дипломатические усилия союзников почти наверняка являются высоким приоритетом для российских спецслужб".
Удалась ли кибератака и что будет с BMW
К сожалению, ни одно из 22 посольств, в которые обратилось Reuters за комментариями, так и не ответило – удалось ли российским хакером получить доступ к компьютерам их дипломатов или система кибербезопасности смогла справиться с уловкой. Но представитель Госдепартамента США заявил, что они знали об этой деятельности и на основании анализа Управления кибербезопасности и технологической безопасности пришли к выводу, что она не повлияла на системы или учетные записи ведомства.
Что касается автомобиля, то польский дипломат, который предпочитает скрывать свое имя ради безопасности, все еще пытается его продать. Правда теперь он собирается это сделать частным порядком и в Польше, чтобы не подвергать опасности свое посольство и не провоцировать хакеров.
Ранее мы писали про то, что хакеры атакуют участников саммита НАТО. Киберпреступники рассылают зараженные документы под видом обращения "Всемирного конгресса украинцев".