Жертвами фейкового оголошення від справжнього дипломата з Польщі могли стати представники 22 посольств.
Бажання звичайного польського дипломата, який служить у Києві, продати стару BMW перетворилося на кібердетектив, повідомляє Reuters. Хакерське угруповання APT29, яке спецслужби США та Великої Британії пов'язують із Головним розвідувальним управлінням Росії, змогли перехопити оголошення та впровадити в нього шкідливий код, щоб заразити його колег із дипломатичної служби.
Угруповання ATP29 (також відоме як Cozy Bear) відоме своїми атаками на західні держустанови. Цим хакерам приписують атаки проти країн-членів НАТО, Європейського Союзу й Африки.
Звичайний продаж BMW перетворюється на пастку
Польський дипломат просто хотів продати свій вживаний BMW, а щоб знизити ризики й уникнути потоку покупців, розіслав своє оголошення про продаж колегам у різні посольства в Києві. Але бажання чоловіка розмістити рекламу "серед своїх", імовірно, призвело до хакерського зламу дипустанов.
За даними ЗМІ, хакери угруповання APT29 перехопили лист із оголошенням, впровадили в нього шкідливий код і далі відправили передбачуваним одержувачам. Працівник посольства в Києві, який нічого не підозрював, насторожився лише після того, як до нього почали надходити дзвінки від колег, які акцентували свою увагу на низькій вартості машини. Хакери поміняли цінник на нижчий, щоб залучити жертв і змусити їх відкрити доданий до листа "заражений" вірусом фотоальбом із зображеннями BMW.
Що насправді було в оголошенні
У перехоплене послання польського дипломата кібертерористи з APT29 впровадили шкідливий код, який активується відразу після того, як жертва відкриє прикріплений до листа фотоальбом. Після цього хакери можуть отримати повний контроль над комп'ютером жертви.
Належність кіберзлочинців саме до APT29 вдалося визначити завдяки аналізу заражених файлів у фотоальбомі. Експерти з Unit 42, які займаються кібербезпекою, ідентифікували хакерське угруповання за методами й інструментами, використаними під час зараження файлів. Вони пояснили, що кожна група хакерів має своєрідний унікальний "почерк", який неможливо приховати, хоч би як вони старалися.
"Дипломатичні місії завжди були й будуть важливою метою шпигунства, — йдеться у звіті Unit 42. — Шістнадцять місяців після російського вторгнення в Україну, розвідувальні дані навколо України й дипломатичні зусилля союзників майже напевно є високим пріоритетом для російських спецслужб".
Чи вдалася кібератака та що буде з BMW
На жаль, жодне з 22 посольств, до яких звернулося Reuters по коментарі, так і не відповіло — чи вдалося російським хакером отримати доступ до комп'ютерів їхніх дипломатів, чи система кібербезпеки змогла впоратися з атаками. Але представник Держдепартаменту США заявив, що вони знали про цю атаку та на підставі аналізу Управління кібербезпеки й технологічної безпеки дійшли висновку, що вона не вплинула на системи або облікові записи відомства.
Що стосується автомобіля, то польський дипломат, який вважає за краще приховувати своє ім'я заради безпеки, все ще намагається його продати. Щоправда, тепер він збирається це зробити приватно та в Польщі, щоб не наражати на небезпеку своє посольство та не провокувати хакерів.
Раніше ми писали про те, що хакери атакують учасників саміту НАТО. Кіберзлочинці розсилають заражені документи під виглядом звернення "Світового конгресу українців".