Levél a M&S hekkereitől: ez történt ezután

Szinte mindennap érkeznek üzenetek a telefonomra a különböző hackerektől. A jóktól, a rosszaktól és azoktól, akik nem igazán tudják, hogy mit csinálnak. Több mint egy évtizede foglalkozom kiberbiztonsággal, így jól tudom, hogy sokan közülük szeretnek beszélni a hackeléseikről, felfedezéseikről és kalandjaikról. Ezeknek a beszélgetéseknek körülbelül 99%-a zárva marad a csevegési naplóimban, és nem vezetnek hírekhez. Azonban egy nemrégiben érkezett üzenet figyelemre méltó volt. „Helló. Itt Joe Tidy a BBC-től, azzal a Co-op hírekkel foglalkozom, igaz?” üzentek nekem a hackerek a Telegramon. „Van egy kis hírünk számodra” – írták, ami felkeltette az érdeklődésemet.

Mikor óvatosan megkérdeztem, hogy miről van szó, a név és profilkép nélküli Telegram-fiók mögött álló emberek elmondták, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kibertámadások révén, amelyek tömeges zűrzavart okoztak. Az ezt követő öt órás üzenetváltás során világossá vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak hírvivők, nyilvánvaló volt, hogy szoros kapcsolatban állnak – ha nem éppen érintettek – az M&S és Co-op hackelésében. Bizonyítékokat osztottak meg velem, amelyek azt bizonyították, hogy hatalmas mennyiségű magán ügyfél- és alkalmazotti információt loptak el. A bemutatott adatok egy részét ellenőriztem, majd biztonságosan töröltem. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj iránti követeléseiknek, de nem árulták el, mennyi bitcoinra van szükségük a kiskereskedőtől, cserébe azért, hogy nem árulják el vagy adják tovább az ellopott adatokat.

A BBC szerkesztőségi politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében fontos jelenteni, hogy bizonyítékokat adtak nekünk, amelyek szerint ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, hogy hozzászólást kérjek, és néhány percen belül a cég, amely kezdetben bagatellizálta a hackelést, elismerte az alkalmazottainak, ügyfeleinek és a tőzsdének a jelentős adatvédelmi incidenst. Sokkal később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackjükre és az azt követő zsarolásra, amelyből kiderült, hogy a kiskereskedő szoros határvonalon került el egy súlyosabb támadást, miután beavatkoztak a számítógépes rendszereik behatolásának kaotikus perceiben.

A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már régóta mondtak a kiskereskedőket sújtó támadások hulláma óta – a hackerek egy DragonForce nevű kibertörvény elkövetői csoport tagjai voltak. De kik is azok a DragonForce? A hackerekkel folytatott beszélgetéseink és a szélesebb körű ismereteink alapján van néhány információnk. A DragonForce különböző szolgáltatásokat kínál a kibertörvény elkövetőinek a sötét weben, cserébe a begyűjtött váltságdíjak 20%-ának megosztásáért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy összezavarja egy áldozat adatait, vagy használhatja a sötét webes oldalukat nyilvános zsarolásra. Ez lett a normális az szervezett kibertörvény elkövetésében; ezt ransomware-as-a-service néven ismerjük. Az egyik legismertebb szolgáltatás az utóbbi időben a LockBit volt, de ez mára gyakorlatilag megszűnt, részben azért, mert a rendőrség tavaly lebuktatta.

A hasonló csoportok lebontása után hatalmi űr alakult ki. Ennek következtében rivalizálás indult az alvilágban, ami arra vezetett, hogy néhány rivális csoport innoválta a kínálatát. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackereknek, például 24/7 ügyfélszolgálatot. A cég állítólag legalább 2024 eleje óta hirdeti szélesebb körű szolgáltatásait, és aktívan célozza meg a szervezeteket 2023 óta – nyilatkozta Hannah Baumgaertner, a Silobreaker nevű kiberkockázati védelmi cég kutatási vezetője. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és kliens paneleket, titkosítást és ransomware tárgyalási eszközöket” – mondta Baumgaertner.

A hatalmi harc éles példájaként a DragonForce sötét webes oldalát nemrégiben egy rivális banda, a RansomHub hackelte meg és módosította, majd körülbelül egy héttel ezelőtt újra megjelent. „A ransomware ökoszisztéma háttérben úgy tűnik, hogy némi lökdösődés zajlik – ami lehet a vezető pozícióért, vagy egyszerűen csak más csoportok zavarásáért, hogy több áldozati részesedést szerezzenek” – tette hozzá Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója. A DragonForce elterjedt működési módja az, hogy posztol az áldozatairól, ahogyan ezt 2024 decemberéig 168 alkalommal tette, beleértve egy londoni könyvelő céget, egy illinoisi acélgyárat és egy egyiptomi befektetési céget is. Azonban a DragonForce eddig csendben maradt a kiskereskedelmi támadásokkal kapcsolatban. A támadások csendben tartása általában azt jelzi, hogy az áldozati szervezet fizetett a hackereknek, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a színfalak mögött.

Nehezen megállapítható, hogy kik állnak a DragonForce mögött, és nem tudni, hol találhatóak. Amikor megkérdeztem a Telegram-fiókjuktól erről, nem kaptam választ. Bár a hackerek nem árulták el kifejezetten, hogy ők állnának a közelmúltban történt M&S és Harrods hackelések mögött, megerősítették a Bloomberg egy jelentését, amely ezt egyértelműen megfogalmazta. Természetesen bűnözők, így hazudhatnak. Egyes kutatók szerint a DragonForce Malajziában található, míg mások Oroszországra gyanakodnak, ahol sok ilyen csoportot tartanak nyilván. Azt tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy programja, csak a pénzszerzés. Ha pedig a DragonForce csupán egy szolgáltatás a más bűnözők számára – ki húzza a szálakat és dönt arról, hogy brit kiskereskedőket támadjanak? Az M&S hackelésének korai szakaszában ismeretlen források azt mondták

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo