Оголошення BMW польського дипломата виявилося заманеним російськими хакерами

Отримуйте безкоштовні оновлення кібервійни

Ми надішлемо вам файл Щоденний дайджест myFT Округлення електронної пошти до останньої Кібервійна Новини кожного ранку.

Хакери, пов’язані з російськими шпигунськими службами, викрали оголошення польського дипломата про продаж його BMW і розгорнули шкідливе програмне забезпечення, щоб спробувати проникнути в мережі іноземних посольств в Україні.

Київський дипломат надіслав електронною поштою повідомлення про свій BMW 5 серії 2011 року в десятки інших посольств цієї весни.

Протягом двох тижнів хакери повторно використали рекламу, знизили ціну та пов’язали сповіщення зі зловмисним програмним забезпеченням, стверджують дослідники Unit 42 — частини каліфорнійської фірми з кібербезпеки Palo Alto Networks.

Мета полягала в тому, щоб спонукати одержувачів натискати фотографії темно-синього седана вартістю 7500 євро зі шкіряним оздобленням і 2-літровим дизельним двигуном, таким чином дозволяючи хакерам таємно викрадати дані, а також майбутній доступ до мереж посольства.

Дослідники стверджують, що чиновники, які розіслали оголошення до 22 дипломатичних представництв у Києві, були частиною хакерського підрозділу під назвою Cozy Bear, пов’язаного зі Службою зовнішньої розвідки (СВР) Росії.

Західні офіційні особи пов’язують Cozy Bear із порушеннями з боку Національного комітету Демократичної партії США у 2016 році та Національного комітету Республіканської партії у 2021 році.

За словами дослідників, Cozy Bear використовував рекламу BMW, щоб замаскувати ймовірне фішингове посилання для встановлення бекдору в мережі посольств, що свідчить про витонченість шпигунських зусиль Москви.

Фішинг передбачає створення привабливих посилань, за якими навіть зацікавлених одержувачів можна обманом змусити натиснути. Попередні приклади включали цьогорічний електронний лист до посольств у Києві, у якому нібито надавалися подробиці заходів з ліквідації наслідків землетрусу в Туреччині.

«Уся справа в тому, щоб підключитися — особливо в Україні…», — сказав Майкл Сікорський, заступник начальника блоку 42, який назвав хакерів «вражаючими».

Невідомо, чи була якась із цільових місій успішно зламана. Двоє людей, знайомих із цією справою, сказали, що сканування американських систем у Києві цього місяця нічого не виявило.

Західні фірми з кібербезпеки, зокрема Palo Alto Networks, Microsoft, Dragos та інші, мають контракти на захист українських клієнтів. Зазвичай це передбачає моніторинг великої кількості даних, що передаються через мережі.

За словами Сікорського, через поширення електронних листів із шкідливим програмним забезпеченням дослідники блоку 42 помітили щось дивне на об’єкті та попередили цільові місії протягом кількох днів. Він відмовився говорити про деталі цих переговорів.

Польський дипломат від коментарів відмовився, як і посольство Польщі. Машина ще не продана.

Російські хакери заполонили мережі України ще до повномасштабного вторгнення в лютому 2022 року, використовуючи одні з найдосконаліших шкідливих програм, які бачили західні дослідники.

Вони відрізали доступ до супутникової інтернет-системи, проданої американською компанією, і стерли дані з державних залізничних та імміграційних систем у перші дні війни.

Американські та європейські охоронні фірми, яким іноді платили союзники України, допомагали запобігти атакам на енергетичну мережу країни, військові системи та банківську мережу.

Але фішингові навички російських хакерів викликали занепокоєння. Один із електронних листів, перехоплених минулого року, містив електронну таблицю з інформацією про загиблих і поранених українських військових.

Його нібито було надіслано помилково, тому одержувачам було важко втриматися від натискання на те, що обіцяє бути болісною національною таємницею.

За словами Сікорського, постійний доступ до електронної пошти посольства створив новий ризик, оскільки тепер хакери можуть повторно використовувати системи штучного інтелекту, такі як ChatGPT, для навчання стилю існуючих розмов.

«Тепер ми знаємо, що вони, ймовірно, мають доступ до папок вхідних повідомлень людей, і потім можуть відрепетувати розмови, які ви мали з людьми протягом історії», — сказав він.

Додатковий репортаж Крістофера Міллера в Києві