M&S hekkerek levele érkezett, ez történt ezután

Szinte naponta kapom a telefonos értesítéseket különféle hackerektől, akik mindegyike más-más szándékkal keresi fel a figyelmemet. Több mint egy évtizede foglalkozom kiberbiztonsággal, így jól tudom, hogy sok hacker szívesen megosztja velem a hackjeit, felfedezéseit és kalandjait. Ezek közül a beszélgetések közül szinte mindegyik a chat naplómban reked, és nem vezetnek hírekhez. Azonban egy nemrégiben érkezett üzenet figyelmet érdemelt. „Helló. Joe Tidy vagyok a BBC-től, és a Co-op híreivel kapcsolatban kereslek, igaz?” – írta nekem egy hacker a Telegramon. „Van egy hírünk számodra” – tette hozzá sejtelmesen. Amikor óvatosan megkérdeztem, miről van szó, a névtelen, profilkép nélküli Telegram-felhasználó azonnal elkezdte osztani a részleteket arról, amit állítólag tett az M&S és a Co-op ellen, olyan kibertámadások során, amelyek tömeges zavart okoztak.

A következő öt órában váltakozó üzeneteinkből kiderült, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak üzenetküldők, nyilvánvaló volt, hogy szoros kapcsolatban állnak – sőt, valószínűleg közvetlenül részt is vettek – az M&S és a Co-op hackelésében. Bizonyítékokat osztottak meg velem, amelyek alátámasztották, hogy hatalmas mennyiségű privát ügyfél- és alkalmazottadatot loptak el. Ellenőriztem az általuk adott adatmintát, majd biztonságosan töröltem azt. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi bitcoint követelnek a kiskereskedőtől azzal az ígérettel, hogy nem értékesítik vagy adják tovább az ellopott adatokat.

A BBC szerkesztői csapatával folytatott megbeszélés után úgy döntöttünk, hogy közérdekből fontos jelenteni, hogy bizonyítékot kaptunk arról, hogy ők felelősek a hackertámadásért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a cég, amely először csak kicsinyelte a hackelést, elismerte az alkalmazottak, ügyfelek és a tőzsde előtt, hogy jelentős adatvédelmi incidens történt. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackelésükre és az azt követő zsarolásra, amelyből kiderült, hogy a kiskereskedő éppen hogy elkerülte egy súlyosabb hackertámadást azzal, hogy közbelépett a számítógépes rendszereik káoszba fulladó pillanataiban.

A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már régóta mondanak, mióta ez a kiskereskedelmet érintő támadássorozat megkezdődött – a hackerek egy DragonForce nevű kiberbűnöző szolgáltatás tagjai. De kik is a DragonForce? A hackerekkel folytatott beszélgetéseink és a szélesebb körű tudásunk alapján van néhány ötletünk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnöző partnereknek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-áért. Bárki regisztrálhat és használhatja a rosszindulatú szoftverüket, hogy megzavarja egy áldozat adatait, vagy kihasználhatja a darknet weboldalukat a nyilvános zsarolásra. Ez a szervezett kiberbűnözés normájává vált, amit „ransomware-as-a-service”-nek neveznek. Az utóbbi időszak legrosszabb hírű szolgáltatása a LockBit volt, de ez szinte már nem működik, részben azért, mert tavaly a rendőrség leleplezte.

A hasonló csoportok felszámolása után hatalmi űr keletkezett, amely újabb versengéshez vezetett az alvilágban, és néhány rivális csoport új lehetőségeket kínált. A DragonForce nemrégiben kartellé alakult át, amely még több lehetőséget kínál a hackereknek, például 24/7 ügyfélszolgálatot. A csoport legalább 2024 eleje óta hirdeti szélesebb kínálatát, és 2023 óta aktívan céloz meg szervezeteket, ahogyan azt a cyber szakértők, például Hannah Baumgaertner, a Silobreaker kiberkockázat-kezelő cég kutatási vezetője is megerősítette. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpanelek, titkosítás és zsarolás-tárgyaló eszközök” – mondta Baumgaertner.

A hackerek tevékenységének világos példájaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub feltörte és megrongálta, majd körülbelül egy héttel ezelőtt újra megjelent. „A zsarolóvírus-ökológia háttérben látható, hogy egyfajta küzdelem zajlik – talán a ‘vezető’ pozícióért, vagy csak más csoportok zavarásáért, hogy több áldozati részesedést szerezzenek” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója. A DragonForce gyakori módszere, hogy posztol a áldozatairól, ahogyan azt 2024 december óta 168 alkalommal tette. Londonban egy könyvelőiroda, Illinoisban egy acélgyártó és Egyiptomban egy befektetési cég is szerepel az áldozatok között. Eddig azonban a DragonForce hallgatott a kiskereskedelmi támadásokról. A támadások körüli csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy hallgassanak.

A DragonForce mögött álló személyek kilétének megállapítása nehézkes, és nem tudni, hol találhatók. Amikor megkérdeztem a Telegram-felhasználójukat erről, nem kaptam választ. Bár a hackerek nem mondták el egyértelműen, hogy ők állnak a legutóbbi M&S és Harrods hackek mögött, megerősítették egy Bloomberg-jelentést, amely ezt kifejtette. Természetesen bűnözőkről van szó, akik hazudhatnak. Egyes kutatók szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoport működik. Azt tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy programja, csupán pénzt akarnak keresni. Ha a DragonForce csak egy szolgáltatás a többi bűnöző számára, akkor ki az, aki a háttérből irányítja az ukrajnai kiskereskedők támadásait?

Az M&S hackelésének korai szakaszában ismeretlen források tájékoztatták a kiberhírek oldalát, a Bleeping Computert, hogy a bizonyítékok egy laza kiberbűnöző közösségre, a Scattered Spiderre utalnak – de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport a szó szoros értelmében

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo