Широката шпионска активност била насочена кон дипломати што работат во најмалку 22 од околу 80 странски мисии во главниот град на Украина, Киев, велат аналитичарите од одделот за истражување на Единицата 42 на Пало Алто нетворкс во извештај што треба да биде објавен денеска.
„Кампањата почна со безопасен и легитимен настан“, се вели во извештајот. „Во средината на април 2023 година, дипломат во полското Министерство за надворешни работи испратил легитимен флаер до различни амбасади, кој рекламирал продажба на користен БМВ седан серија 5 лоциран во Киев“.
Полскиот дипломат, кој одбил да биде идентификуван од безбедносни причини, ја потврдил улогата на неговата реклама во дигиталниот упад.
Хакерите, познати како АПТ29 или „Кози бер“ (Cozy Bear), го пресретнале и го ископирале тој флаер, му вградиле компјутерски вирус, а потоа го испратиле до десетици други странски дипломати што работат во Киев, соопшти Одделот 42.
„Ова има запрепастувачки голем обем за она што често се тајни операции со тесен опсег за напредни постојани закани (АПТ)“, се вели во извештајот, користејќи кратенка што често се користи за опишување на сајбер-шпионските групи поддржани од државата.
Во 2021 година американските и британските разузнавачки агенции го идентификуваа АПТ29 како гранка на руската странска разузнавачка служба, СВР. СВР не одговорило на барањето на Ројтерс за коментар за хакерската кампања.
Во април полските контраразузнавачки и сајбер-безбедносни власти предупредија дека истата група спровела „широка разузнавачка кампања“ против земјите-членки на НАТО, Европската Унија и Африка.
Истражувачите од Единицата 42 успеале да го поврзат лажниот оглас за автомобил со СВР бидејќи хакерите повторно користеле одредени алатки и техники што претходно биле поврзани со таа шпионска агенција.
„Дипломатските мисии секогаш ќе бидат шпионска цел со висока вредност“, се вели во извештајот на Единицата 42. „Шеснаесет месеци по руската инвазија на Украина, разузнавачките информации околу Украина и сојузничките дипломатски напори речиси сигурно се висок приоритет за руската влада“.
Користено БМВ
Полскиот дипломат рекол дека оригиналниот оглас го испратил до различни амбасади во Киев и дека некој му се јавил затоа што цената изгледала „привлечна“.
„Кога проверив, сфатив дека зборуваат за малку пониска цена“, рекол дипломатот за Ројтерс.
Излегло дека хакерите на СВР го огласиле БМВ-то на дипломатот за пониска цена – 7.500 евра – во својата лажна верзија на огласот, во обид да поттикнат повеќе луѓе да го преземат компјутерскиот вирус што ќе им овозможи далечински пристап до нивните уреди.
Тој вирус, соопшти единицата 42, бил маскиран како албум со фотографии од користеното БМВ. Обидите да се отворат тие фотографии би го заразиле таргетираниот компјутер, се вели во извештајот.
Дваесет и една од 22 амбасади што биле нападнати од хакерите и подоцна контактирани од Ројтерс не дале коментар. Не се знае кои амбасади, доколку ги има, биле компромитирани, вели Ројтерс.
Портпаролот на американскиот Стејт департмент рече дека тие се „свесни за активноста и врз основа на анализата на Дирекцијата за сајбер и технолошка безбедност откриле дека таа не влијаела врз системите или сметките на Министерството“.
Што се однесува на автомобилот, тој сè уште е достапен, рекол полскиот дипломат за Ројтерс:
„Ќе се обидам да го продадам во Полска, веројатно“, рече тој. „По оваа ситуација, не сакам да имам повеќе проблеми.“
