Es stellte sich heraus, dass die BMW-Anzeige des polnischen Diplomaten von russischen Hackern angelockt wurde

Erhalten Sie kostenlose Cyberwarfare-Updates

Wir senden Ihnen eine Datei myFT Daily Digest E-Mail auf den neuesten Stand runden Cyberkrieg Jeden Morgen Neuigkeiten.

Mit russischen Spionagediensten verbundene Hacker haben die Anzeige eines polnischen Diplomaten für den Verkauf seines BMW gekapert und Malware eingesetzt, um die Netzwerke ausländischer Botschaften in der Ukraine zu infiltrieren.

Der in Kiew ansässige Diplomat schickte in diesem Frühjahr eine E-Mail-Ankündigung über seinen 2011er BMW 5er an Dutzende andere Botschaften.

Laut Forschern von Unit 42 – Teil des kalifornischen Cybersicherheitsunternehmens Palo Alto Networks – haben die Hacker die Anzeige innerhalb von zwei Wochen wiederverwendet, den Preis gesenkt und die Benachrichtigung mit Malware in Verbindung gebracht.

Ziel war es, die Empfänger dazu zu verleiten, Bilder der 7.500 Euro teuren dunkelblauen Limousine mit Lederausstattung und 2-Liter-Dieselmotor anzuklicken und so Hackern den heimlichen Diebstahl von Daten und künftigen Zugriff auf Botschaftsnetzwerke zu ermöglichen.

Forscher sagen, dass die Beamten – die die weitergeleitete Anzeige an 22 diplomatische Vertretungen in Kiew schickten – Teil einer Hackereinheit namens Cozy Bear waren, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist.

Westliche Beamte haben Cozy Bear mit Missbräuchen durch das US Democratic National Committee im Jahr 2016 und das Republican National Committee im Jahr 2021 in Verbindung gebracht.

Cozy Bear nutzte eine BMW-Anzeige, um einen angeblichen Spear-Phishing-Link zu verschleiern, um eine Hintertür in Botschaftsnetzwerken zu installieren – ein Zeichen für die Raffinesse der Spionagebemühungen Moskaus, sagen Forscher.

Beim Spear-Phishing werden verlockende Links erstellt, durch die selbst interessierte Empfänger dazu verleitet werden könnten, darauf zu klicken. Zu den früheren Beispielen gehörte dieses Jahr eine E-Mail an die Botschaften in Kiew, in der vorgetäuscht wurde, Einzelheiten zu Erdbebenhilfemaßnahmen in der Türkei zu veröffentlichen.

„Es geht darum, süchtig zu werden – besonders in der Ukraine …“, sagte Michael Sikorsky, stellvertretender Leiter der Einheit 42, der die Hacker als „beeindruckend“ bezeichnete.

Es ist nicht bekannt, ob eine der Zielmissionen erfolgreich gehackt wurde. Zwei mit der Angelegenheit vertraute Personen sagten, ein Scan der US-Systeme in Kiew in diesem Monat habe nichts ergeben.

Westliche Cybersicherheitsfirmen, darunter Palo Alto Networks, Microsoft, Dragos und andere, haben Verträge zum Schutz ukrainischer Kunden. Dabei werden in der Regel viele Daten überwacht, die über Netzwerke übertragen werden.

Als E-Mails mit Schadsoftware im Umlauf waren, bemerkten die Forscher von Unit 42 laut Sikorsky etwas Seltsames in der Einrichtung und alarmierten innerhalb weniger Tage Zielmissionen. Er lehnte es ab, die Einzelheiten dieser Gespräche zu besprechen.

Der polnische Diplomat lehnte eine Stellungnahme ab, ebenso wie die polnische Botschaft. Das Auto ist immer noch nicht verkauft.

Russische Hacker haben die Netzwerke der Ukraine bereits vor der groß angelegten Invasion im Februar 2022 überschwemmt und dabei einige der ausgefeiltesten Malware eingesetzt, die westliche Forscher je gesehen haben.

Sie unterbrachen den Zugang zu einem Satelliten-Internetsystem, das von einem amerikanischen Unternehmen verkauft wurde, und löschten in den ersten Kriegstagen Daten aus den staatlichen Zug- und Einwanderungssystemen.

Amerikanische und europäische Sicherheitsfirmen, die teilweise von Verbündeten der Ukraine bezahlt werden, haben dazu beigetragen, Angriffe auf das Energienetz, die Militärsysteme und das Bankennetzwerk des Landes zu vereiteln.

Doch die Phishing-Fähigkeiten der russischen Hacker gaben Anlass zur Sorge. Eine der im letzten Jahr abgefangenen E-Mails enthielt eine Tabelle mit Angaben zu toten und verwundeten ukrainischen Soldaten.

Es wurde angeblich versehentlich verschickt, was es den Empfängern schwer machte, der Versuchung zu widerstehen, auf etwas zu klicken, das ein schmerzhaftes Staatsgeheimnis zu werden verspricht.

Der ständige Zugriff auf Botschafts-E-Mails stelle ein neues Risiko dar, sagte Sikorsky, da Hacker jetzt KI-Systeme wie ChatGPT wiederverwenden können, um den Stil bestehender Konversationen zu trainieren.

„Jetzt wissen wir, dass sie wahrscheinlich Zugriff auf die Posteingänge der Menschen haben und dann die Gespräche, die Sie im Laufe der Geschichte mit Menschen geführt haben, nachvollziehen können“, sagte er.

Zusätzliche Berichterstattung von Christopher Miller in Kiew