Με Δούρειο Ίππο, μια μεταχειρισμένη BMW πολυτελείας, χάκερ μπήκαν στα αρχεία δεκάδων διπλωματών που εργάζονται σε πρεσβείες στο Κάιρο, όπως φαίνεται σε έκθεση εταιρείας κυβερνοασφάλειας που δημοσιεύτηκε την Τετάρτη. Οι χάκερ θεωρείται ότι εργάζονται για την υπηρεσία εξωτερικών πληροφοριών της Ρωσίας. Έφτιαξαν μια ψεύτικη διαφήμιση για μία BMW που επωλείτο σε πολύ χαμηλή τιμή, στο Κίεβο, και την έστειλαν σε διπλωμάτες, προκειμένου να εισβάλουν στους υπολογιστές τους, σε μια καλοστημένη επιχείρηση κατασκοπείας.
Η ψεύτικη διαφήμιση εστάλη σε διπλωμάτες που εργάζονταν σε τουλάχιστον 22 από τις περίπου 80 ξένες αποστολές στην πρωτεύουσα της Ουκρανίας, όπως ανέφεραν στην έκθεσή τους οι αναλυτές του ερευνητικού τμήματος Μονάδα 42, της εταιρίας Palo Alto Networks. «Η επιχείρηση ξεκίνησε με ένα αθώο και νόμιμο γεγονός», αναφέρει η έκθεση, όπως μεταδίδει το πρακτορείο Reuters. «Στα μέσα Απριλίου του 2023, ένας διπλωμάτης του πολωνικού Υπουργείου Εξωτερικών έστειλε με ηλεκτρονικό ταχυδρομείο ένα νόμιμο φυλλάδιο – διαφήμιση, σε διάφορες πρεσβείες που διαφήμιζε την πώληση ενός μεταχειρισμένου «BMW 5-series sedan» που βρισκόταν στο Κίεβο». Ο Πολωνός διπλωμάτης, ο οποίος αρνήθηκε να κατονομαστεί επικαλούμενος λόγους ασφαλείας, επιβεβαίωσε τον ρόλο της διαφήμισής του στην ψηφιακή εισβολή.
Οι χάκερ, γνωστοί ως APT29 ή “Cozy Bear”, υπέκλεψαν και αντέγραψαν την εν λόγω διαφήμιση, της ενσωμάτωσαν κακόβουλο λογισμικό και στη συνέχεια την έστειλαν σε δεκάδες άλλους ξένους διπλωμάτες που εργάζονται στο Κίεβο, ανέφερε η Μονάδα 42. «Είναι συγκλονιστικό σε έκταση για κάτι που γενικά είναι περιορισμένης εμβέλειας, όπως οι παράνομες επιχειρήσεις προηγμένης διαρκούς απειλής (APT)», ανέφερε η έκθεση, χρησιμοποιώντας το συγκεκριμένο ακρωνύμιο που χρησιμοποιείται συχνά για να περιγράψει ομάδες και επιχειρήσεις κυβερνοκατασκοπείας που υποστηρίζονται από κράτος.
Το παρελθόν
Το 2021, οι αμερικανικές και βρετανικές υπηρεσίες πληροφοριών αναγνώρισαν την APT29 ως βραχίονα της ρωσικής υπηρεσίας εξωτερικών πληροφοριών, της SVR. Η SVR δεν απάντησε σε αίτημα του Reuters για σχολιασμό σχετικά με την συγκεκριμένη επιχείρηση υποκλοπής στοιχείων. Τον Απρίλιο, οι πολωνικές αρχές αντικατασκοπείας και κυβερνοασφάλειας προειδοποίησαν ότι η ίδια ομάδα είχε πραγματοποιήσει μια “εκτεταμένη εκστρατεία κατασκοπείας”, εναντίον κρατών μελών του ΝΑΤΟ, της Ευρωπαϊκής Ένωσης και της Αφρικής.
Η αποκάλυψη
Οι ερευνητές της Μονάδας 42 κατάφεραν να συνδέσουν την ψεύτικη διαφήμιση αυτοκινήτου με την SVR, επειδή οι χάκερ χρησιμοποίησαν εκ νέου ορισμένα εργαλεία και τεχνικές που είχαν συνδεθεί και στο παρελθόν με την ρωσική υπηρεσία κατασκοπείας. «Οι διπλωματικές αποστολές θα αποτελούν πάντα στόχο κατασκοπείας υψηλής αξίας», αναφέρει η έκθεση της Μονάδας 42. «Δεκαέξι μήνες μετά την ρωσική εισβολή στην Ουκρανία, οι πληροφορίες γύρω από την Ουκρανία και τις συμμαχικές διπλωματικές προσπάθειες είναι σχεδόν σίγουρα υψηλή προτεραιότητα για τη ρωσική κυβέρνηση»”, σημειώνει η έκθεση.
Ο Πολωνός διπλωμάτης είπε ότι είχε πράγματι στείλει την αρχική αγγελία σε διάφορες πρεσβείες στο Κίεβο και ότι κάποιος του τηλεφώνησε επειδή η τιμή φαινόταν «ελκυστική». «Όταν το έλεγξα, συνειδητοποίησα ότι μιλούσαν για ελαφρώς χαμηλότερη τιμή», δήλωσε ο διπλωμάτης στο Reuters. Οι χάκερ της SVR, όπως αποδείχθηκε, είχαν καταχωρήσει την BMW του διπλωμάτη σε χαμηλότερη τιμή – 7.500 ευρώ – στην ψεύτικη εκδοχή της διαφήμισης, σε μια προσπάθεια να ενθαρρύνουν περισσότερους ανθρώπους να κατεβάσουν την διαφήμιση-φυλλάδιο, με το κακόβουλο λογισμικό που θα τους έδινε απομακρυσμένη πρόσβαση στις συσκευές τους, διαπίστωσε το Reuters.
Αυτό το λογισμικό, σύμφωνα με τη Μονάδα 42, ήταν μεταμφιεσμένο σε ένα άλμπουμ με φωτογραφίες της μεταχειρισμένης BMW. «Οι απόπειρες ανοίγματος αυτών των φωτογραφιών θα μόλυναν το μηχάνημα του στόχου», ανέφερε η έκθεση.
Η μεταχειρισμένη BMW
Είκοσι μία από τις 22 πρεσβείες που αποτέλεσαν στόχο των χάκερ και με τις οποίες επικοινώνησε στη συνέχεια το Reuters αρνήθηκαν να σχολιάσουν το γεγονός. Δεν είναι σαφές ούτε ποιες πρεσβείες, έχουν pαραβιαστεί ούτε αν έχουν παραβιαστεί κάποιοι υπολογιστές πρεσβειών. Εκπρόσωπος του Στέιτ Ντιπάρτμεντ των ΗΠΑ δήλωσε ότι “είχαν επίγνωση της δραστηριότητας και με βάση την ανάλυση της Διεύθυνσης Κυβερνοασφάλειας και Τεχνολογικής Ασφάλειας διαπίστωσαν ότι η επιχείρηση δεν επηρέασε συστήματα ή λογαριασμούς του Υπουργείου”.
Όσον αφορά την BMW είναι ακόμα διαθέσιμη όπως δήλωσε ο γνήσιος αποστολέας της διαφήμισης, ο Πολωνός διπλωμάτης, στο Reuters: Θα προσπαθήσω να το πουλήσω στην Πολωνία, πιθανότατα», είπε. «Μετά από αυτή την κατάσταση, δεν θέλω να έχω άλλα προβλήματα».
