Hackers rusos atrajeron a trabajadores de embajadas en Ucrania con aviso de un BMW barato

Piratas informáticos sospechosos de trabajar para la agencia de inteligencia extranjera de Rusia atacaron a decenas de diplomáticos en las embajadas en Ucrania con un anuncio falso de autos usados en un intento por entrar en sus computadoras, según un informe de una firma de seguridad cibernética publicado el miércoles.

La actividad de espionaje de amplio alcance tuvo como objetivo a diplomáticos que trabajaban en al menos 22 de las aproximadamente 80 misiones extranjeras en la capital de Ucrania, Kiev, dijeron analistas de la división de investigación de la Unidad 42 de Palo Alto Networks en el informe.

“La campaña comenzó con un evento inocuo y legítimo”, dijo el informe, que fue informado por primera vez por Reuters.

“A mediados de abril de 2023, un diplomático del Ministerio de Relaciones Exteriores de Polonia envió por correo electrónico un volante legítimo a varias embajadas que anunciaban la venta de un sedán BMW serie 5 usado ubicado en Kiev”.

El diplomático polaco, que se negó a ser identificado por motivos de seguridad, confirmó el papel de su anuncio en la intrusión digital.

Los piratas informáticos, conocidos como APT29 o “Cozy Bear”, interceptaron y copiaron ese folleto, lo incrustaron con software malicioso y luego lo enviaron a docenas de otros diplomáticos extranjeros que trabajan en Kiev, dijo la Unidad 42.

“Esto tiene un alcance asombroso para lo que generalmente son operaciones de amenazas persistentes avanzadas (APT) clandestinas y de alcance limitado”, dijo el informe, utilizando un acrónimo que se usa a menudo para describir a los grupos de ciberespionaje respaldados por el Estado.

En 2021, las agencias de inteligencia estadounidenses y británicas identificaron a APT29 como un brazo del Servicio de Inteligencia exterior de Rusia, el SVR. El SVR no respondió a una solicitud de Reuters para comentar sobre la campaña de piratería.

En abril, las autoridades polacas de contrainteligencia y ciberseguridad advirtieron que el mismo grupo había llevado a cabo una “campaña de inteligencia generalizada” contra los Estados miembros de la OTAN, la Unión Europea y África.

Los investigadores de la Unidad 42 pudieron vincular el anuncio del automóvil falso con el SVR porque los piratas informáticos reutilizaron ciertas herramientas y técnicas que anteriormente se habían conectado a la agencia de espionaje.

“Las misiones diplomáticas siempre serán un objetivo de espionaje de alto valor”, dijo el informe de la Unidad 42. “Dieciséis meses después de la invasión rusa de Ucrania, la inteligencia que rodea a Ucrania y los esfuerzos diplomáticos aliados son casi con seguridad una alta prioridad para el gobierno ruso”.

El diplomático polaco dijo que había enviado el anuncio original a varias embajadas en Kiev y que alguien le devolvió la llamada porque el precio parecía “atractivo”.

“Cuando revisé, me di cuenta de que estaban hablando de un precio ligeramente más bajo”, señaló el diplomático a Reuters.

Resulta que los piratas informáticos de SVR habían incluido el BMW del diplomático a un precio más bajo, 7.500 euros, en su versión falsa del anuncio, en un intento de alentar a más personas a descargar software malicioso que les daría acceso remoto a sus dispositivos, Reuters encontró.

Ese software, dijo la Unidad 42, estaba disfrazado como un álbum de fotografías del BMW usado. Los intentos de abrir esas fotografías habrían infectado la máquina del objetivo, según el informe.

Veintiuna de las 22 embajadas atacadas por los piratas informáticos y posteriormente contactadas por Reuters no proporcionaron comentarios. No estaba claro qué embajadas, si es que había alguna, se habían visto comprometidas.

Un portavoz del Departamento de Estado norteamericano dijo que estaban “al tanto de la actividad y, según el análisis de la Dirección de Seguridad Cibernética y Tecnológica, encontraron que no afectó los sistemas o las cuentas del Departamento”.

En cuanto al automóvil, todavía estaba disponible, dijo el diplomático polaco a Reuters: “Probablemente intentaré venderlo en Polonia”, señaló. “Después de esta situación, no quiero tener más problemas”.