Российские хакеры заманили сотрудников посольств в Украине рекламой дешевого BMW

Reuters: Хакеры, подозреваемые в работе на российское агентство внешней разведки, атаковали десятки дипломатов в посольствах в Украине с помощью поддельной рекламы подержанных автомобилей в попытке взломать их компьютеры, говорится в отчете компании по кибербезопасности, с которым ознакомилось агентство Reuters.

Широкомасштабная шпионская деятельность была направлена против дипломатов, работающих по меньшей мере в 22 из примерно 80 иностранных представительств в столице Украины Киеве, говорится в отчете аналитиков исследовательского подразделения Palo Alto Networks Unit 42, который должен быть опубликован позднее в среду.

"Кампания началась с безобидного и законного мероприятия", - говорится в отчете. "В середине апреля 2023 года дипломат из Министерства иностранных дел Польши разослал по электронной почте законную рекламную листовку в различные посольства, рекламирующую продажу подержанного седана BMW 5-й серии, расположенного в Киеве".

Польский дипломат, который отказался назвать свое имя, сославшись на соображения безопасности, подтвердил роль своей рекламы в цифровом вторжении.

Хакеры, известные как APT29 или "Уютный мишка", перехватили и скопировали эту листовку, внедрили в нее вредоносное программное обеспечение, а затем разослали ее десяткам других иностранных дипломатов, работающих в Киеве, сообщает Unit 42.

"Это ошеломляет по масштабам для того, что обычно является узкоспециализированными и подпольными операциями advanced persistent threat (APT)", - говорится в отчете, используя аббревиатуру, часто используемую для описания поддерживаемых государством групп кибершпионажа.

В 2021 году разведывательные службы США и Великобритании идентифицировали APT29 как подразделение российской службы внешней разведки, СВР. СВР не ответила на запрос Reuters о комментариях по поводу хакерской кампании.

В апреле польские органы контрразведки и кибербезопасности предупредили, что та же группа провела "широкомасштабную разведывательную кампанию" против государств-членов НАТО, Европейского союза и Африки.

Исследователи из подразделения 42 смогли связать рекламу поддельного автомобиля с SVR, потому что хакеры повторно использовали определенные инструменты и методы, которые ранее были связаны со шпионским агентством.

"Дипломатические миссии всегда будут ценной целью шпионажа", - говорится в отчете подразделения 42. "Спустя шестнадцать месяцев после российского вторжения в Украину разведданные об Украине и дипломатические усилия союзников почти наверняка являются первоочередной задачей российского правительства".

ПОДЕРЖАННЫЙ BMW

Польский дипломат сказал, что он отправил оригинал объявления в различные посольства в Киеве, и что кто-то перезвонил ему, потому что цена выглядела "привлекательной".

"Когда я проверил, я понял, что они говорили о немного более низкой цене", - сказал дипломат агентству Рейтер.

Оказывается, хакеры SVR указали BMW дипломата по более низкой цене - 7500 евро - в своей поддельной версии рекламы, пытаясь побудить больше людей загружать вредоносное программное обеспечение, которое предоставило бы им удаленный доступ к своим устройствам.

Это программное обеспечение, по словам подразделения 42, было замаскировано под альбом фотографий подержанного BMW. Попытки открыть эти фотографии привели бы к заражению компьютера жертвы, говорится в отчете.

Двадцать одно из 22 посольств, ставших мишенью хакеров и с которыми впоследствии связалось агентство Reuters, не предоставили комментариев. Было неясно, какие посольства, если таковые имелись, были скомпрометированы.

Представитель Госдепартамента США заявил, что они "осведомлены об этой деятельности и, основываясь на анализе Директората кибербезопасности и технологий, пришли к выводу, что это не повлияло на системы или учетные записи департамента".

Что касается автомобиля, то он все еще был доступен, сообщил польский дипломат агентству Reuters:

"Вероятно, я попытаюсь продать его в Польше", - сказал он. "После этой ситуации я больше не хочу иметь никаких проблем".