Рекламу BMW польского дипломата выманили российские хакеры

Получайте бесплатные обновления кибервойны

Мы вышлем вам файл Ежедневный дайджест myFT Округление электронной почты до последней Кибервойна Новости каждое утро.

Хакеры, связанные с российскими шпионскими службами, похитили объявление польского дипломата о продаже его BMW и развернули вредоносное ПО, пытаясь проникнуть в сети иностранных посольств в Украине.

Этой весной киевский дипломат разослал по электронной почте объявление о своем BMW 5 серии 2011 года в десятки других посольств.

В течение двух недель хакеры повторно использовали рекламу, снизили цену и связали уведомление с вредоносным ПО, утверждают исследователи из Unit 42, входящей в калифорнийскую фирму по кибербезопасности Palo Alto Networks.

Цель состояла в том, чтобы заманить получателей изображениями темно-синего седана стоимостью 7500 евро с кожаной отделкой и 2-литровым дизельным двигателем, что позволило хакерам тайно украсть данные, а также доступ к сетям посольств в будущем.

Исследователи говорят, что чиновники, которые разослали пересланное объявление в 22 дипломатических представительства в Киеве, были частью хакерского подразделения Cozy Bear, связанного с российской службой внешней разведки (СВР).

Западные официальные лица связывают Cozy Bear со злоупотреблениями со стороны Национального комитета Демократической партии США в 2016 году и Национального комитета Республиканской партии в 2021 году.

Исследователи говорят, что Cozy Bear использовала рекламу BMW, чтобы замаскировать предполагаемую фишинговую ссылку для установки бэкдора в сети посольств, что является признаком изощренности шпионских усилий Москвы.

Целевой фишинг включает в себя создание заманчивых ссылок, по которым даже заинтересованные получатели могут быть обмануты, чтобы щелкнуть их. Предыдущие примеры включали в этом году электронное письмо в посольства в Киеве, в котором якобы сообщались подробности о мерах по ликвидации последствий землетрясения в Турции. Предыдущие примеры включали в этом году электронное письмо в посольства в Киеве, в котором якобы сообщались подробности о мерах по ликвидации последствий землетрясения в Турции.

«Все дело в том, чтобы попасться на крючок — особенно в Украине…», — сказал Майкл Сикорский, заместитель начальника подразделения 42, который назвал хакеров «впечатляющими».

Неизвестно, была ли успешно взломана какая-либо из целевых миссий. Два человека, знакомые с этим вопросом, сказали, что сканирование систем США в Киеве в этом месяце ничего не дало.

Западные фирмы по кибербезопасности, в том числе Palo Alto Networks, Microsoft, Dragos и другие, имеют контракты на защиту украинских клиентов. Обычно это включает в себя мониторинг большого количества данных, передаваемых по сетям.

По словам Сикорского, из-за распространения электронных писем, содержащих вредоносное ПО, исследователи Unit 42 заметили что-то странное на объекте и предупредили целевые миссии в течение нескольких дней. Он отказался обсуждать детали этих переговоров.

Польский дипломат отказался от комментариев, как и посольство Польши. Машина до сих пор не продана.

Российские хакеры наводнили украинские сети еще до полномасштабного вторжения в феврале 2022 года, используя одни из самых сложных вредоносных программ, которые когда-либо видели западные исследователи.

В первые дни войны они отключили доступ к спутниковой интернет-системе, проданной американской компанией, и стерли данные из государственной системы поездов и иммиграционной службы.

Американские и европейские охранные фирмы, которым иногда платят союзники Украины, помогли предотвратить атаки на энергосистему страны, военные системы и банковскую сеть.

Но фишинговые навыки российских хакеров вызывали беспокойство. В одном из электронных писем, перехваченных в прошлом году, содержалась таблица с подробной информацией об убитых и раненых украинских солдатах.

Предположительно, оно было отправлено по ошибке, из-за чего получателям было трудно удержаться от нажатия на то, что обещает стать болезненной национальной тайной.

По словам Сикорского, постоянный доступ к электронной почте посольства создает новый риск, поскольку теперь хакеры могут повторно использовать системы искусственного интеллекта, такие как ChatGPT, для обучения стилю существующих разговоров.

«Теперь мы знаем, что у них, вероятно, есть доступ к почтовым ящикам людей, и они могут затем репетировать разговоры, которые вы имели с людьми на протяжении всей истории», — сказал он.

Дополнительный репортаж Кристофера Миллера в Киеве