Meglepetés az inboxomban: levelet kaptam a M&S hekkereitől, ez történt ezután
Az utóbbi hónapokban egyre több hírt hallani kiberbűnözőkről, akik különböző technikákkal próbálják megszerezni a cégek és magánszemélyek érzékeny adatait. A kiberbiztonság terén eltöltött több mint egy évtizedes tapasztalatom alapján tisztában vagyok vele, hogy a hackerek gyakran szeretik megosztani a sikereiket és kalandjaikat. Az üzenetek, amelyeket nap mint nap kapok, többnyire a beszélgetés szintjén maradnak, és nem vezetnek hírértékű történetekhez. Azonban nemrég egy olyan üzenet érkezett, amelyet lehetetlen volt figyelmen kívül hagyni. „Helló, Joe Tidy vagyok a BBC-től, és a Co-op híreiről szeretnék beszélni, igaz?” – kérdezte egy névtelen hacker a Telegramon. Kiderült, hogy a hackerek információkkal rendelkeznek a M&S és a Co-op elleni kibertámadásokról, amelyek jelentős zavart okoztak a cégek működésében.
A következő öt órában folytatott üzenetváltás során világossá vált, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár magukat üzenetküldőként aposztrofálták, nyilvánvaló volt, hogy szoros kapcsolatban állnak a M&S és Co-op hackelésével. Bizonyítékokat is megosztottak velem, amelyek igazolták, hogy hatalmas mennyiségű adatot loptak el vásárlókról és alkalmazottakról. Ezt követően azonban frusztrációjukat fejezték ki, amiért a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, hogy mennyi Bitcoinra lenne szükségük ahhoz, hogy ne adják el az ellopott adatokat.
A BBC Szerkesztői Politikai csapatával folytatott megbeszélés után úgy döntöttünk, hogy az a közérdek, hogy tudomásul vegyük, hogy a hackerek bizonyítékokat szolgáltattak a támadásról. Gyorsan kapcsolatba léptem a Co-op sajtócsapatával, és perceken belül a cég, amely kezdetben leértékelte a hackelést, elismerte az alkalmazottaknak, vásárlóknak és a tőzsdének, hogy jelentős adatvédelmi incidenst szenvedtek el. Később a hackerek egy hosszú, dühös és sértő levelet küldtek a Co-op reakciójáról, amelyből kiderült, hogy a kiskereskedő a hack folytatásának kezdeti káoszában szűk mozdulattal elkerülte a súlyosabb támadást.
A levelek és a hackerekkel folytatott beszélgetések megerősítették azt, amit a kiberbiztonsági szakértők már régóta állítanak: a hackerek egy DragonForce nevű kiberbűnöző szolgáltatás részei. De kik is ők valójában? A DragonForce a sötét weben különböző szolgáltatásokat kínál a kiberbűnözőknek, cserébe a váltságdíjak 20%-át kérik el. Az ilyen típusú bűnözés legújabb trendje a ransomware-as-a-service, amely lehetővé teszi bárki számára, hogy használja a kártékony szoftvereket egy áldozat adatainak titkosítására, vagy nyilvános váltságdíjat kérjen a sötét weben. Az elmúlt időszak legismertebb ilyen szolgáltatása a LockBit volt, amely azonban a rendőrség tavalyi akciója miatt szinte megszűnt. A csoportok lebontása után egy hatalmi űr keletkezett, amely újabb versengéshez vezetett az alvilágban. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackereknek, beleértve a 24/7 ügyfélszolgálatot is.
A DragonForce működési elve, hogy folyamatosan posztol az áldozatairól, és az elmúlt hónapokban már 168 alkalommal tette ezt. Az eddigi támadások sorában megtalálható egy londoni könyvelőiroda, egy illinoisi acélgyár és egy egyiptomi befektetési cég is. Azonban a DragonForce eddig hallgatott a kiskereskedelmi támadásokkal kapcsolatban. Az ilyen csend tipikusan azt jelzi, hogy az áldozat szervezet kifizette a hackereket, hogy ne beszéljenek az esetről. Jelenleg nem tudjuk, hogy mi történik a háttérben, mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a helyzetet.
A DragonForce mögött álló személyek azonosítása nehéz feladat, és nem tudni, hol találhatóak. Bár a hackerek nem mondták el, hogy ők lennének a legutóbbi M&S és Harrods hackerek, megerősítették a Bloomberg egy jelentését, amely ezt állította. Néhány kutató szerint a DragonForce Malajziában, míg mások szerint Oroszországban működik. Az azonban biztos, hogy a DragonForce célja kizárólag a pénzszerzés, és ha ők csupán egy szolgáltatás a többi bűnöző számára, akkor ki irányítja őket és választja ki a támadott cégeket? A M&S hack kezdeti szakaszában ismeretlen források arról számoltak be, hogy egy laza, Scattered Spider néven ismert kiberbűnöző közösség állhat a háttérben, de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport, inkább egy közösség, amely különböző platformokon szerveződik, mint például Discord és Telegram.
Az ilyen bűnözői tevékenységek ellenére a hatóságok eddig nem tudtak hatékonyan fellépni. A közelmúltban a Google kiberbiztonsági részlege figyelmeztetett, hogy a Scattered Spider-szerű támadások a tengerentúlon is megjelentek. A Telegramon folytatott beszélgetés során a hackerek elutasították, hogy válaszoljanak arra, hogy ők lennének-e a Scattered Spider. „Erre a kérdésre nem válaszolunk” – mondták. Az ügy pikantériája, hogy két hacker azt kérte, hogy Raymond Reddington és Dembe Zuma néven ismerjék őket, a népszerű sorozat, a The Blacklist két karaktere után, akik a bűnözők elfogásában segédkeznek. Az online térben a Co-op weboldala ismét elérhetővé vált, de a legutóbbi kibertámadás következtében az online rendelések továbbra is felfüggesztve maradtak. A vásárlók már több mint egy hónapja nem tudnak online rendelni. A helyzet továbbra is rendkívül bonyolult, és a kiberbiztonsági szakértők folyamatosan figyelik a fejleményeket.
Ezeket is érdemes megnézni
Halálos kitérő 3: Felfedjük a szereposztás titkait!
Az Egyesült Államok elveszíti tökéletes hitelminősítését a növekvő adósság miatt
