Reuters: Российские спецслужбы пытались заразить устройства иностранных дипломатов в Украине через фишинг с объявлением о продаже BMW

Атаке подверглись 22 посольства

Дата
12 июля 2023

Российская хакерская группировка Cozy Bear (также APT29), которую связывают с ФСБ и Службой внешней разведки (СВР), запустила фишинговую рассылку в 22 иностранных диппредставительства в Киеве. Об этом сообщает агентство Reuters со ссылкой на доклад Unit 42 — исследовательского подразделения компании Palo Alto Networks.

«Кампания началась с безобидного и законного действия. В середине апреля 2023 года сотрудник МИД Польши разослал в несколько посольств рекламное объявление о продаже подержанного седана BMW 5-й серии», — сказано в докладе.

Фейковой объявление, распространенное хакерами
Фейковой объявление, распространенное хакерами
Unit 42 via Reuters

Хакеры Cozy Bear перехватили это письмо, скопировали объявление, заразили его вредоносным ПО, открывающим удаленный доступ к устройствам дипломатов, и разослали в 22 из 80 иностранных посольств в Киеве. Сам вирус был вшит в альбом с фотографиями автомобиля.

Исследователи Unit 42 связывают произошедшее именно с российской разведкой, так как в этой кибератаке использовались инструменты, прежде фиксировавшиеся в кампаниях СВР.

Неназванный польский дипломат, который изначально и пытался продать BMW, сообщил, что с ним связывались по поводу покупки машины по «привлекательной» цене. Оказалось, что потенциальные покупатели получили фейковое объявление с указанием более низкой цены, чем в оригинальном письме. Так хакеры пытались заманить больше жертв, считают специалисты.

Теперь польский дипломат будет пытаться продать свой автомобиль в Польше. «После этой ситуации я не хочу проблем», — сказал он в комментарии Reuters.

В Госдепе США заявили, что знают об активности хакеров. Кибератака не затронула системы американского внешнеполитического ведомства. Остальные затронутые дипмиссии не прокомментировали ситуацию.

  • Хакерская группировка Cozy Bear существует примерно с 2008 года. Власти Нидерландов и США связывают хакеров с СВР России. Вредоносное ПО группировки было замечено в атаках на госорганы стран НАТО, Пентагон, американские НКО и другие инстанции и организации.

Поделиться