Die Hackergruppe APT29, auch als „Cozy Bear“ bekannt, hat offenbar eine Anzeige für den Verkauf eines gebrauchten BMW gefälscht, um die Computer der ausländischen Diplomaten in Kiew zu hacken. Darüber schreibt die Nachrichtenagentur Reuters exklusiv am Mittwoch unter Berufung auf einen Bericht der amerikanischen Cybersicherheitsfirma Palo Alto Networks.
Die Hackergruppe wird von amerikanischen und britischen Geheimdiensten verdächtigt, für den russischen Auslandsgeheimdienst SWR zu arbeiten. Ihre weitreichende Spionageaktivität habe sich gegen Diplomaten gerichtet, die in mindestens 22 der rund 80 Auslandsvertretungen in der ukrainischen Hauptstadt Kiew arbeiten würden, schreibt Reuters.
„Umwerfendes Ausmaß“: Mit Russland verbundene Hacker überlisten Diplomaten in Kiew
„Die Kampagne begann mit einem unschuldigen und legitimen Vorfall“, heißt es in dem von Reuters zitierten Bericht der Sicherheitsfirma. „Mitte April 2023 schickte ein Diplomat des polnischen Außenministeriums per E-Mail einen legitimen Flyer an verschiedene Botschaften in Kiew, in dem er für den Verkauf einer gebrauchten BMW 5er-Limousine in Kiew warb.“ Der polnische Diplomat, der aus Sicherheitsgründen nicht genannt werden wollte, bestätigte gegenüber Reuters die Rolle seiner Anzeige beim Vorfall.
Die Hackergruppe APT29 soll den Flyer abgefangen und kopiert haben, diesen mit einer bösartigen Software versehen und dann an Dutzende andere ausländische Diplomaten geschickt haben, die in Kiew arbeiten. „Das Ausmaß dieser im Allgemeinen eng begrenzten und geheimen Advanced Persistent Threat (APT)-Operationen ist umwerfend“, heißt es im Bericht. Das komplizierte Akronym wird häufig zur Beschreibung von Aktivitäten staatlich unterstützter Cyberspionagegruppen verwendet.
Günstige BMW-Anzeige: Der betroffene polnische Diplomat will das Auto nun doch in Polen verkaufen
Wie der anonyme polnische Diplomat sagte, er habe die Originalanzeige an verschiedene Botschaften in Kiew geschickt und jemand habe ihn zurückgerufen, weil der Preis „attraktiv“ gewesen sei. „Als ich nachschaute, wurde mir klar, dass es sich um einen etwas niedrigeren Preis handelte“, wird der Diplomat von Reuters zitiert. Es stellte sich heraus, dass die Hacker den BMW des Diplomaten in der gefälschten Anzeige zu einem niedrigeren Preis von rund 7500 Euro angeboten hatten, um mehr Menschen zum Herunterladen schädlicher Software zu motivieren. Das soll ihnen im Endeffekt einen Fernzugriff auf ihre Geräte ermöglichen haben.
Diese Software ist nach Angaben der Sicherheitsfirma als Fotoalbum des gebrauchten BMW getarnt worden. Versuche, diese Fotos zu öffnen, hätten den Computer des Ziels mit der bösartigen Software infiziert. 21 der 22 betroffenen Botschaften, die von den Hackern laut dem Bericht ins Visier genommen wurden, haben bisher nicht auf Reuters-Anfragen geantwortet. Es bleibe also unklar, welche Botschaften, wenn wenn überhaupt, kompromittiert worden seien.