Прокремлёвские хакеры атаковали 22 посольства в Киеве при помощи объявления о продаже BMW от польского дипломата — Reuters

Прокремлёвские хакеры взломали киевских дипломатов при помощи имейла о продаже автомобиля BMW. Об этом говорится в статье Reuters, которые ознакомились с отчётом компании по кибербезопасности Palo Alto Networks Unit 42.

Согласно анализу специалистов, взломщики пытались получить доступ к данным 22 иностранных представительств в Киеве. Заявляется, что для этого использовалось реальное сообщение от дипломата Министерства иностранных дел Польши, который разослал своим коллегам объявление о продаже своего BMW F10.

«Кампания началась с безобидного и законного события. В середине апреля 2023 года дипломат Министерства иностранных дел Польши отправил по электронной почте законные листовки в различные посольства, рекламирующие продажу подержанного седана BMW 5-й серии, находящегося в Киеве», — сообщили аналитики.

Оказалось, что сообщение «перехватили» хакеры из группировки APT29 (Cozy Bear), которую Великобритания и США связывают с российской Службой внешней разведки. Сообщалось, что в течение 2020 года группировка пыталась атаковать различные организации, которые участвовали в разработке вакцины против COVID-19 в Канаде, США и Великобритании.

По версии западных спецслужб, группа пыталась украсть информацию и «интеллектуальную собственность», связанную с разработкой и тестированием вакцин против. Согласно имеющимся данным, APT29 использует вирусы WellMess и WellMail, которые способны как просто шпионить за жертвой, так и выполнять не её устройсве вредоносные команды.

Согласно данным Unit 42, хакеры из APT29 перехватили сообщение польского дипломата и встроили в него один из своих вирусов, а затем продолжили рассылку в дипмиссии, базирующиеся в Киеве. Сообщается, что снизили цену до 7,5 тысяч евро, чтобы побудить как можно больше потенциальных жертв провзаимодействовать с имейлом. Для взлома планировалось использовать «заражённые» вирусом картинки.

Большинство посольств подтвердили, что подверглись попытке атаки. Тем не менее, неизвестно, несколько попытка взлома была успешной и сколько данных удалось украсть прокремлёвским хакерам.

Польский дипломат также подтвердил, что сам организовал изначальную рассылку. Впоследствии ему позвонили потенциальные покупатели и он удивился тому, насколько низкую цену они ожидали. Он говорит, что теперь попробует продать свой автомобиль на родине, чтобы избежать «дальнейших проблем».

В середине июня сообщалось, что госучреждения и компании США подверглись российской хакерской атаке из-за уязвимости MOVEit. В мае ФБР объявило в розыск российского хакера, который якобы заработал 200 миллионов долларов при помощи вирусов-вымогателей. СМИ также писли, что российские взломщики под видом суданской группировки атаковали Швецию.