W kwietniu 2023 r. polski dyplomata za pomocą poczty elektronicznej rozesłał legalne ogłoszenie o sprzedaży używanego BMW serii 5 do pracowników różnych ambasad. Rosyjska grupa hakerska – znana jako APT29 lub Cozy Bear – przechwyciła ogłoszenie Polaka, umieściła w nim złośliwe oprogramowanie i rozesłała je do ponad 20 ambasad znajdujących się w Kijowie.

Strategia na tanie BMW polskiego dyplomaty

Stacjonujący w Ukrainie dyplomaci wykazali wyjątkowo duże zainteresowanie ofertą. Nie wzbudziło to podejrzeń pracownika polskiej ambasady, ponieważ samochód znajdował się w Kijowie. Zdziwiła go jednak podawana przez nich kwota. – Kiedy sprawdziłem, zdałem sobie sprawę, że mówili o nieco niższej cenie – powiedział agencji Reutera. Okazało się, że przestępcy zachęcili ukraińskich dyplomatów do klikania w rozesłany przez nich link, wystawiając BMW za zaledwie 7500 euro.

Do zainfekowania komputera dochodziło w momencie otworzenia załączonej do ogłoszenia galerii zdjęć. Szkodliwe działania szybko przypisano grupie APT29, ponieważ hakerzy skorzystali ze znanych już specjalistom z Palo Alto Networks Unit 42 narzędzi i technik.

Organizacje zajmujące się bezpieczeństwem cyfrowym wiążą cyberprzestępców z Cozy Bear z rosyjskimi agencjami wywiadowczymi. „Szesnaście miesięcy po rosyjskiej inwazji na Ukrainę wywiad otaczający Ukrainę i sojuszniczych dyplomatów jest prawie na pewno priorytetem rosyjskiego rządu” – czytamy w raporcie Unit 42.

Rosyjscy hakerzy działali na szeroką skalę

„Jest to zdumiewające w porównaniu z operacjami o wąskim zasięgu i tajnymi zaawansowanymi trwałymi zagrożeniami” – dowiadujemy się z dokumentu opublikowanego przez Palo Alto Networks. Agencja Reutera podjęła próbę kontaktu z zaatakowanymi ambasadami, jednak nie uzyskała żadnego komentarza.

Polski dyplomata odpowiedział na pytania o dalszy los jego BMW. – Prawdopodobnie spróbuję go sprzedać w Polsce (...) Po tej sytuacji nie chcę mieć więcej problemów – powiedział Reuterowi.

