Široka špijunska aktivnost bila je usmjerena na diplomate koji rade u najmanje 22 od otprilike 80 stranih misija u glavnom gradu Ukrajine, Kijevu, navode analitičari istraživačkog odjela Palo Alto Networks Unit 42 u izvještaju, koji bi trebao biti objavljen kasnije u srijedu.
"Kampanja je počela bezazlenim i legitimnim događajem", navodi se u izvještaju. "Sredinom aprila 2023., diplomata u poljskom Ministarstvu vanjskih poslova poslao je e-poštom legitiman letak raznim ambasadama u kojem je reklamirao prodaju polovnog BMW-a serije 5 koji se nalazi u Kijevu."
Poljski diplomata, koji je odbio da bude identifikovan, pozivajući se na bezbjednosne brige, potvrdio je ulogu njegove reklame u digitalnom upadu.
Hakeri, poznati kao APT29 ili "Cosy Bear", presreli su i kopirali taj letak, ugradili zlonamjerni softver, a zatim ga poslali desetinama drugih stranih diplomata koji rade u Kijevu, navodi Jedinica 42.
"Ovo je zapanjujuće po obimu za ono što su generalno usko obimne i tajne operacije napredne persistentne prijetnje (APT)", navodi se u izvještaju, koristeći akronim koji se često koristi za opisivanje grupa za cyber špijunažu koje podržava država.
Godine 2021. američke i britanske obavještajne agencije identificirale su APT29 kao ogranak ruske strane obavještajne službe, SVR. SVR nije odgovorio na zahtjev Reutersa za komentar o hakerskoj kampanji.
U aprilu su poljske kontraobavještajne i službe za cyber sigurnost upozorile da je ista grupa vodila "široko rasprostranjenu obavještajnu kampanju" protiv država članica NATO-a, Evropske unije i Afrike.
Istraživači u Jedinici 42 uspjeli su povezati lažni automobilski oglas sa SVR-om jer su hakeri ponovo koristili određene alate i tehnike koje su prethodno bile povezane sa špijunskom agencijom.
"Diplomatske misije će uvijek biti meta špijunaže visoke vrijednosti", navodi se u izvještaju Jedinice 42. "Šesnaest mjeseci nakon ruske invazije na Ukrajinu, obavještajni podaci oko Ukrajine i saveznički diplomatski napori su gotovo sigurno visoki prioritet za rusku vladu."
POLOVNI BMW
Poljski diplomata je rekao da je originalni oglas poslao raznim ambasadama u Kijevu i da ga je neko zvao jer mu je cijena izgledala "privlačno".
"Kada sam provjerio, shvatio sam da govore o malo nižoj cijeni", rekao je diplomata Reutersu.
SVR hakeri su, ispostavilo se, u svojoj lažnoj verziji oglasa naveli diplomatov BMW po nižoj cijeni - 7.500 eura, u pokušaju da podstaknu više ljudi da preuzmu zlonamjerni softver koji bi im omogućio daljinski pristup njihovim uređajima.
Taj softver, navodi Jedinica 42, bio je zamaskiran u album sa fotografijama polovnog BMW-a. Pokušaji otvaranja tih fotografija zarazili bi mašinu mete, navodi se u izvještaju.
Dvadeset i jedna od 22 ambasade na meti hakera i koje je naknadno kontaktirao Reuters nije dala komentar. Nije bilo jasno koje su ambasade, ako ih je bilo, kompromitovane.
Glasnogovornik američkog State Departmenta rekao je da su "svjesni aktivnosti i da su na osnovu analize Direkcije za cyber i tehnološku sigurnost otkrili da to nije utjecalo na sisteme ili naloge Ministarstva".
Što se tiče automobila, on je još uvijek bio dostupan, rekao je poljski diplomata Reutersu:
"Pokušaću da ga prodam u Poljskoj, vjerovatno", rekao je. "Nakon ove situacije, ne želim više da imam probleme".
