در گزارش واحد 42 آمده است: “ماموریت های دیپلماتیک همیشه یک هدف جاسوسی با ارزش خواهند بود.” 16 ماه پس از حمله روسیه به اوکراین، اطلاعاتی که پیرامون اوکراین و تلاشهای دیپلماتیک متحدانش میگذرد، تقریباً به طور قطع اولویت بالایی برای دولت روسیه است.
واحد 42 توانست آگهی ماشین تغییر یافته را به SVR ردیابی کند زیرا هکرها از ابزارها و تکنیک های خاصی که قبلاً به آژانس جاسوسی متصل شده بودند دوباره استفاده کردند.
چه اتفاقی افتاده؟ هک روسیه از زمان حمله این کشور به اوکراین به شدت افزایش یافته است. گمان میرود که آخرین رویداد مربوط به مجرمان سایبری باشد که به دستور آژانس اطلاعات خارجی روسیه، دیپلماتهای سفارتهای اوکراین را با تبلیغ یک BMW ارزان قیمت هدف قرار دادهاند.
این کمپین در اواسط آوریل زمانی آغاز شد که یک دیپلمات در وزارت امور خارجه لهستان یک بروشور قانونی را به سفارتخانه های مختلف ایمیل کرد. این بروشور تبلیغاتی برای یک سدان سری 5 ب ام و دست دوم واقع در کیف بود.
به گفته بخش تحقیقاتی واحد 42 شبکه پالو آلتو (از طریق رویترز)، ده ها دیپلمات که در حداقل 22 از 80 نمایندگی خارجی در پایتخت اوکراین، کیف، کار می کردند، هدف حملات قرار گرفتند.
سخنگوی وزارت خارجه ایالات متحده گفت که از این فعالیت آگاه است و بر سیستم ها یا حساب های وزارتخانه تأثیری نداشته است. ماشین همچنان برای فروش است.
سپس هکرها این بروشور را رهگیری و کپی کردند و قبل از ارسال آن به ده ها دیپلمات دیگر در کیف، آن را با نرم افزارهای مخرب جاسازی کردند.
گروه مسئول، APT29 با نام مستعار “خرس دنج”، بازوی سرویس اطلاعات خارجی روسیه (SVR) است. گمان میرود که پشت بسیاری از حوادث هک با مشخصات بالا، از جمله حمله باجافزار به ارائهدهنده شخص ثالث کمیته ملی جمهوریخواه، Synnex Corp، نفوذ به شبکه دموکراتها، هک FireEye و بسیاری موارد دیگر بوده است.
در ماه مارس، یک افشاگر فایلهایی را از یک پیمانکار دفاعی مستقر در مسکو فاش کرد که ظاهراً نشان میدهد این شرکت چگونه با سازمانهای نظامی و اطلاعاتی روسیه برای حمایت از آنها در عملیات هک، آموزش عوامل، انتشار اطلاعات نادرست و اسکن اینترنت برای آسیبپذیریها همکاری میکند. یک ماه بعد، دیدیم که مایکروسافت نسبت به تلاش عوامل روسی برای نفوذ به جوامع بازی هشدار داد.
Cozy Bear در این تبلیغ فقط نرم افزارهای مخرب اضافه شده بود. همچنین بی ام و را با قیمت کمتر 7500 یورو (8292 دلار) درج کرده است. این کار برای جذابیت بیشتر برای خریداران بالقوه ای بود که ناآگاهانه نرم افزار را دانلود می کردند که به عنوان آلبومی از عکس های ماشین مبدل شده بود و در نتیجه به مهاجمان امکان دسترسی از راه دور به دستگاه های خود را می داد.