Hackare som misstänks ha arbetat för Rysslands utländska underrättelsetjänst riktade in sig på dussintals diplomater vid ambassader i Ukraina med en falsk begagnad bilannons i ett försök att bryta sig in i deras datorer, enligt en rapport från cybersäkerhetsföretaget som Reuters sett.
Den omfattande spionageverksamheten riktade sig mot diplomater som arbetar i minst 22 av de cirka 80 utländska beskickningarna i Ukrainas huvudstad Kiev, säger analytiker vid Palo Alto Networks forskningsavdelning 42 i rapporten, som kommer att publiceras senare på onsdag.
”Kampanjen började med en ofarlig och legitim händelse”, sade rapporten. ”I mitten av april 2023 mailade en diplomat inom det polska utrikesministeriet ett legitimt flygblad till olika ambassader som annonserade försäljningen av en begagnad BMW 5-serie sedan i Kiev.”
Den polske diplomaten, som avböjde att bli identifierad med hänvisning till säkerhetsproblem, bekräftade rollen av sin annons i det digitala intrånget.
Hackarna, känd som APT29 eller ”Cozy Bear”, snappade upp och kopierade det flygbladet, bäddade in det med skadlig programvara och skickade det sedan till dussintals andra utländska diplomater som arbetade i Kiev, sa enhet 42.
”Detta är häpnadsväckande i räckvidd för vad som i allmänhet är snävt avgränsade och hemliga avancerade persistent hot-operationer (APT)”, sade rapporten, med en akronym som ofta används för att beskriva statsstödda cyberspionagegrupper.
År 2021 identifierade amerikanska och brittiska underrättelsetjänster APT29 som en arm till Rysslands utländska underrättelsetjänst, SVR. SVR svarade inte på en begäran från Reuters om en kommentar om hackningskampanjen.
I april varnade polska kontraspionage- och cybersäkerhetsmyndigheter för att samma grupp hade genomfört en ”utbredd underrättelsekampanj” mot NATO:s medlemsländer, Europeiska unionen och Afrika.
Forskare vid enhet 42 kunde knyta den falska bilannonsen tillbaka till SVR eftersom hackarna återanvände vissa verktyg och tekniker som tidigare varit kopplade till spionbyrån.
”Diplomatiska uppdrag kommer alltid att vara ett högt värdefullt spionagemål”, sa Unit 42-rapporten. ”Sexton månader efter den ryska invasionen av Ukraina är underrättelsetjänsten kring Ukraina och allierade diplomatiska ansträngningar nästan säkert en hög prioritet för den ryska regeringen.”
Begagnad BMW
Den polske diplomaten sa att han hade skickat den ursprungliga annonsen till olika ambassader i Kiev, och att någon hade ringt tillbaka honom eftersom priset såg ”attraktivt ut”.
”När jag kollade insåg jag att de pratade om ett något lägre pris”, sa diplomaten till Reuters.
SVR-hackare, visar det sig, hade listat diplomatens BMW för ett lägre pris – 7 500 euro – i sin falska version av annonsen, i ett försök att uppmuntra fler människor att ladda ner skadlig programvara som skulle ge dem fjärråtkomst till sina enheter.
Den programvaran, sa Unit 42, var förklädd som ett album med fotografier av den begagnade BMW:n. Försök att öppna dessa fotografier skulle ha infekterat målets maskin, sa rapporten.
Tjugoen av de 22 ambassader som hackarna måltavlade och som därefter kontaktades av Reuters lämnade inga kommentarer. Det var inte klart vilka ambassader, om några, som hade äventyrats.
En talesperson för det amerikanska utrikesdepartementet sa att de var ”medvetna om aktiviteten och baserat på direktoratet för cyber- och tekniksäkerhets analys fann att den inte påverkade avdelningens system eller konton.”
När det gäller bilen var den fortfarande tillgänglig, sa den polske diplomaten till Reuters:
”Jag ska försöka sälja den i Polen, förmodligen,” sa han. ”Efter den här situationen vill jag inte ha fler problem.”
(Rapportering av James Pearson; redigering av Conor Humphries)
Intresserad av Bil?
Få automatiska varningar för detta ämne.