Bir siber güvenlik firmasının Çarşamba günü yayınladığı rapora göre, Rusya'nın dış istihbarat teşkilatı için çalıştığından şüphelenilen bilgisayar korsanları, bilgisayarlarına girmek amacıyla sahte bir ikinci el araba ilanıyla Ukrayna'daki büyükelçiliklerde çalışan düzinelerce diplomatı hedef aldı.
Palo Alto Networks'ün Unit 42 araştırma bölümündeki analistler raporda, geniş kapsamlı casusluk faaliyetinin Ukrayna'nın başkenti Kiev'deki yaklaşık 80 yabancı misyondan en az 22'sinde çalışan diplomatları hedef aldığını söyledi.
İlk olarak Reuters tarafından yayınlanan raporda, "Kampanya zararsız ve meşru bir olayla başladı" denildi ve şu sözler kaydedildi:
"Nisan 2023'ün ortalarında Polonya Dışişleri Bakanlığı'ndaki bir diplomat, Kiev'de bulunan kullanılmış bir BMW 5 serisi sedanın satışını ilan eden yasal bir broşürü çeşitli büyükelçiliklere e-posta ile gönderdi".
Güvenlik kaygılarını gerekçe göstererek isminin açıklanmasını istemeyen Polonyalı diplomat, reklamının dijital izinsiz girişteki rolünü doğruladı.
Birim 42, APT29 ya da "Cozy Bear" olarak bilinen bilgisayar korsanlarının bu broşürü ele geçirip kopyaladığını, kötü niyetli bir yazılım yerleştirdiğini ve ardından Kiev'de çalışan düzinelerce yabancı diplomata gönderdiğini söyledi.
Raporda, genellikle devlet destekli siber casusluk gruplarını tanımlamak için kullanılan bir kısaltma kullanılarak, "Bu, genellikle dar kapsamlı ve gizli gelişmiş kalıcı tehdit (APT) operasyonları için şaşırtıcı bir kapsamdır" denildi.
2021 yılında ABD ve İngiliz istihbarat kurumları APT29'un Rusya'nın dış istihbarat servisi SVR'nin bir kolu olduğunu tespit etti. SVR, Reuters'ın bilgisayar korsanlığı kampanyasıyla ilgili yorum talebine yanıt vermedi.
Nisan ayında Polonyalı karşı istihbarat ve siber güvenlik yetkilileri aynı grubun NATO üyesi ülkelere, Avrupa Birliği'ne ve Afrika'ya yönelik "yaygın bir istihbarat kampanyası" yürüttüğü uyarısında bulunmuştu.
Unit 42'deki araştırmacılar sahte araba reklamını SVR ile ilişkilendirebildiler çünkü bilgisayar korsanları daha önce casusluk teşkilatıyla ilişkilendirilen bazı araç ve teknikleri yeniden kullandılar.
Birim 42 raporunda "Diplomatik misyonlar her zaman yüksek değerli bir casusluk hedefi olacaktır" denildi ve raporda şu sözlere yer verildi: "Rusya'nın Ukrayna'yı işgalinin üzerinden 16 ay geçmişken, Ukrayna ve müttefiklerin diplomatik çabalarına ilişkin istihbarat Rus hükümeti için neredeyse kesin olarak yüksek öncelikli bir konudur."
Polonyalı diplomat, orijinal ilanı Kiev'deki çeşitli büyükelçiliklere gönderdiğini ve birisinin fiyat "cazip" göründüğü için kendisini geri aradığını söyledi.
Reuters'a konuşan diplomat, "Kontrol ettiğimde biraz daha düşük bir fiyattan söz ettiklerini fark ettim." dedi.
Reuters, SVR bilgisayar korsanlarının, daha fazla insanı cihazlarına uzaktan erişim sağlayacak kötü amaçlı yazılımı indirmeye teşvik etmek amacıyla, reklamın sahte versiyonunda diplomatın BMW'sini daha düşük bir fiyatla (7.500 Euro) listelediklerini ortaya çıkardı.
Birim 42, bu yazılımın kullanılmış BMW'nin fotoğraflarından oluşan bir albüm olarak gizlendiğini söyledi. Raporda, bu fotoğrafları açma girişimlerinin hedefin makinesine virüs bulaştıracağı belirtildi.
Bilgisayar korsanları tarafından hedef alınan ve daha sonra Reuters tarafından iletişime geçilen 22 büyükelçilikten 21'i yorum yapmadı. Hangi büyükelçiliklerin, eğer varsa, ele geçirildiği net değildi.
ABD Dışişleri Bakanlığı sözcüsü, "söz konusu faaliyetten haberdar olduklarını ve Siber ve Teknoloji Güvenliği Müdürlüğü'nün analizine dayanarak bunun Bakanlık sistemlerini veya hesaplarını etkilemediğini" söyledi.
Polonyalı diplomat Reuters'a verdiği demeçte, arabanın hâlâ mevcut olduğunu söyledi ve ekledi:
"Muhtemelen Polonya'da satmaya çalışacağım. Bu durumdan sonra daha fazla sorun yaşamak istemiyorum".