Хакеры, известные как APT29 или «Уютный медведь», которых подозревают в работе на российскую службу внешней разведки, атаковали сайты дипломатов в посольствах в Украине. Атака, целью которой был взлом компьютеров посольств, произошла с помощью поддельной рекламы подержанных автомобилей. Под прицелом хакеров оказались дипломаты, работающие, как минимум, в 22 из 80 иностранных представительств в столице Украины городе Киев. Об этом говорится в отчете аналитиков исследовательского подразделения «Palo Alto Networks Unit 42»:
«Атака началась с безобидного и законного события. В середине апреля 2023 года дипломат Министерства иностранных дел Польши отправил по электронной почте письма в различные посольства, рекламирующие продажу его подержанного седана BMW 5-й серии, находящегося в Киеве».
Польский дипломат, который отказался назвать свое имя, сославшись на соображения безопасности, подтвердил роль своей рекламы в хакерской атаке. Он сказал, что отправил оригинальное объявление в различные посольства в Киеве, и что кто-то перезвонил ему, потому что цена выглядела «привлекательной», но названная цена оказалась гораздо ниже предложенной поляком.
То есть, хакеры перехватили и скопировали письмо польского дипломата. Затем они внедрили в сообщение вредоносное ПО и отправили ее десяткам других иностранных дипломатов, работающих в Киеве. В отчете с использованием аббревиатуры, часто используемой для описания поддерживаемых государством групп кибершпионажа, сказано:
«Это ошеломляет по своим масштабам для того, что обычно представляет собой узкомасштабные и тайные операции с продвинутыми постоянными угрозами (APT)».
Спецслужбы США и Великобритании идентифицировали APT29 как подразделение Службы внешней разведки России еще в 2021 году. В апреле 2023 года польские органы контрразведки и кибербезопасности предупредили, что эта же группа провела «широкомасштабную разведывательную кампанию» против стран-членов НАТО, Европейского Союза и Африки.
Исследователи из Unit 42 смогли связать фальшивую рекламу автомобиля с этими хакерами, так как они повторно использовали определенные инструменты и методы, которые ранее были связаны со шпионским агентством:
«Дипломатические миссии всегда будут важной целью шпионажа. Шестнадцать месяцев после российского вторжения в Украину, разведывательные данные вокруг Украины и дипломатические усилия союзников почти наверняка являются высоким приоритетом для российского правительства».
Рассчитывая вызвать интерес со стороны сотрудников посольств на низкую цену хорошего автомобиля, хакеры указали на BMW дипломата более низкую цену в поддельной версии рекламы. Таким образом они пытались загрузить вредоносное программное обеспечение для получения удаленного доступа к посольским компьютерам.
Это программное обеспечение, по словам аналитиков, было замаскировано под альбом фотографий подержанного BMW. В отчете говорится, что попытка открыть для просмотра эти фотографии заразили бы компьютер жертвы.
Представитель Госдепартамента США заявил, что они «знали об этой деятельности и, на основании анализа Управления кибербезопасности и технологической безопасности, пришли к выводу, что она не повлияла на системы или учетные записи Департамента».
Ранее, в статье «В Молдове арестованы четыре российских шпиона», мы сообщали о раскрытии шпионской группы. Призываем наших читателей пользоваться только проверенными источниками информации и не поддаваться психологическому давлению российских захватчиков. Новая информация оперативно публикуется на нашем Telegram-канале.
По материалу Джеймса Пирсона / Reuters
Вы можете поделиться этой новостью: