Хакери заманювали дипломатів в Україні рекламою дешевого BMW

Хакери, яких підозрюють у роботі на російську зовнішню розвідку, атакували десятки дипломатів у посольствах в Україні за допомогою фальшивого оголошення про продаж вживаних автомобілів, намагаючись зламати їхні комп'ютери, йдеться у звіті фірми з кібербезпеки, опублікованому в середу.

Широкомасштабна шпигунська діяльність була спрямована на дипломатів, які працюють щонайменше у 22 з приблизно 80 іноземних представництв у столиці, зазначають у звіті аналітики дослідницького підрозділу Palo Alto Networks Unit 42.

"Кампанія почалася з нешкідливого і законного заходу", — йдеться у звіті, повідомило агентство Reuters.

"У середині квітня 2023 року дипломат Міністерства закордонних справ Польщі надіслав електронною поштою в різні посольства легітимний флаєр з рекламою продажу вживаного седана BMW 5-ї серії, що знаходиться в Києві".

Польський дипломат, який відмовився назвати своє ім'я з міркувань безпеки, підтвердив роль своєї реклами у цифровому вторгненні.

Хакери, відомі як APT29 або "Cozy Bear", перехопили і скопіювали цю листівку, вбудували в неї шкідливе програмне забезпечення, а потім розіслали її десяткам інших іноземних дипломатів, які працюють у Києві, повідомляє 42-й підрозділ.

"Це приголомшливо за своїми масштабами для того, що, як правило, є вузькоспеціалізованими і таємними операціями по боротьбі з постійними загрозами (advanced persistent threat - APT)", — йдеться у звіті, в якому використовується абревіатура, що часто використовується для опису підтримуваних державою кібершпигунських груп.

У квітні польська контррозвідка і органи кібербезпеки попередили, що ця ж група провела "широкомасштабну розвідувальну кампанію" проти країн-членів НАТО, Європейського Союзу та Африки.

Дослідники з підрозділу 42 змогли пов'язати фальшиву рекламу автомобілів з SVR, оскільки хакери повторно використовували певні інструменти і методи, які раніше були пов'язані зі шпигунським агентством.

"Дипломатичні місії завжди будуть високоцінними об'єктами шпигунства", — йдеться у звіті 42-го підрозділу. "Через шістнадцять місяців після російського вторгнення в Україну розвідка навколо України і дипломатичні зусилля союзників майже напевно є високим пріоритетом для російського уряду".

Вживаний BMW

Польський дипломат розповів, що розіслав оригінал оголошення в різні посольства в Києві, і що йому передзвонили, оскільки ціна була дуже низькою.

"Коли я перевірив, то зрозумів, що вони говорили про трохи нижчу ціну", — розповів дипломат в інтерв'ю Reuters.

Виявляється, хакери з SVR вказали у своїй підробленій версії оголошення нижчу ціну на BMW дипломата — 7 500 євро, намагаючись заохотити більше людей завантажити шкідливе програмне забезпечення, яке надавало б їм віддалений доступ до їхніх пристроїв.

Це програмне забезпечення, за словами представників Unit 42, було замасковане під альбом з фотографіями вживаних BMW. Спроби відкрити ці фотографії призвели б до зараження комп'ютера жертви, йдеться у звіті.

Представник Державного департаменту США заявив, що вони "знають про цю активність і на основі аналізу, проведеного Управлінням кібернетичної і технологічної безпеки, встановили, що вона не вплинула на системи або облікові записи департаменту".

Що стосується автомобіля, то він все ще доступний, повідомив Reuters польський дипломат:

"Я спробую продати його в Польщі, можливо, — сказав він. "Після цієї ситуації я не хочу більше мати жодних проблем".