Megérkezett a M&S hekkereinek üzenete – így folytatódott a történet
Naponta érkeznek üzenetek a telefonomra különféle hackerektől, akiket a jó, a rossz és a bizonytalan kategóriákba sorolhatnánk. Több mint egy évtizede foglalkozom kiberbiztonsággal, így tudom, hogy sokan szeretnek beszélni a hackjeikről, felfedezéseikről és kalandjaikról. Ezeknek az üzeneteknek körülbelül 99%-a a csevegéseimben marad, és nem válik hírré. Azonban egy nemrégiben érkezett üzenet figyelmemet felkeltette. „Helló. Joe Tidy vagyok a BBC-től, és a Co-op híreivel kapcsolatban írok, igaz?” – üzentek nekem a hackerek a Telegramon. „Van néhány hírünk számodra” – tették hozzá sejtelmesen. Amikor óvatosan megkérdeztem, miről van szó, a névtelen, profilkép nélküli Telegram-fiók mögött álló emberek megosztották velem, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kibertámadások során, amelyek tömeges zűrzavart okoztak.
Az öt órás üzenetváltás során világossá vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csupán üzeneteket közvetítenek, nyilvánvaló volt, hogy szoros kapcsolatban állnak, sőt, valószínűleg közvetlenül részt vettek az M&S és a Co-op hackelésében. Bizonyítékokat osztottak meg arról, hogy hatalmas mennyiségű magánszemélyi és munkavállalói információt loptak el. Ellenőriztem a nekem küldött adatok egy részét, majd biztonságosan töröltem őket. Nyilvánvalóan frusztrálták őket, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi pénzt követelnek Bitcoinban a kiskereskedőtől azért, hogy ne árulják el vagy adják tovább az ellopott adatokat.
A BBC Szerkesztési Politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében jelenteni kell, hogy bizonyítékokat kaptunk, amelyek szerint ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a vállalat, amely először bagatellizálta a hackertámadást, elismerte az alkalmazottak, az ügyfelek és a tőzsde felé a jelentős adatvédelmi incidenst. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról és a későbbi zsarolásról, amelyből kiderült, hogy a kiskereskedő szoros határvonalon úszott meg egy súlyosabb hackertámadást, miután beavatkoztak a számítógépes rendszereik behatolása után.
A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már régóta mondanak, mióta ez a kiskereskedelmi támadássorozat elkezdődött: a hackerek a DragonForce nevű kiberbűnöző szolgáltatás tagjai. De kik is ezek a DragonForce hackerek? A beszélgetéseink és a szélesebb körű ismeretek alapján van néhány nyomunk. A DragonForce különféle szolgáltatásokat kínál a kiberbűnöző partnereknek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-áért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy összezavarja egy áldozat adatait, vagy a darknet weboldalukat használhatják nyilvános zsarolásra. Ez már a szervezett kiberbűnözés normájává vált; ezt ransomware-as-a-service-nek hívják.
A legutóbbi időszak legismertebb szolgáltatása a LockBit volt, de ez gyakorlatilag már elhalványult, részben azért, mert tavaly a rendőrség lebuktatta. E csoportok felszámolása után hatalmi vákuum keletkezett, ami versengést indított el az alvilágban, és egyes rivális csoportok innoválták ajánlataikat. A DragonForce nemrégiben kartellé alakult, amely még több opciót kínál a hackereknek, például 24/7 ügyfélszolgálatot. A csoport legalább 2024 eleje óta hirdeti széleskörű ajánlatát, és aktívan célozza meg a szervezeteket 2023 óta, mondja Hannah Baumgaertner, a Silobeaker kiberkockázat-védelmi cég kutatási vezetője.
A DragonForce elterjedt működési módja, hogy posztol a áldozatairól; eddig 168 alkalommal tette ezt 2024 decembere óta. Londoni könyvelőirodák, illinoisi acélgyártók, egyiptomi befektetési cégek mind szerepelnek a listájukon. Azonban eddig a DragonForce hallgatott a kiskereskedelmi támadásokról. A támadásokkal kapcsolatos csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy hallgassanak. Mivel a DragonForce, a Co-op és az M&S sem kommentálta ezt a pontot, nem tudjuk, mi történik a színfalak mögött.
A DragonForce mögött álló személyek azonosítása nehéz, és nem ismert, hol találhatóak. Amikor megkérdeztem a Telegram-fiókjuktól erről, nem kaptam választ. Bár a hackerek nem mondták ki egyértelműen, hogy ők állnak a M&S és a Harrods legutóbbi hackelése mögött, megerősítették egy Bloomberg jelentést, amely ezt kifejtette. Természetesen bűnözők, így hazudhatnak is. Egyes kutatók szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoport működik. Tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy napirendje, csak a pénzszerzés. Ha a DragonForce csupán egy szolgáltatás a többi bűnöző számára – ki irányítja a szálakat és dönt arról, hogy a brit kiskereskedőket támadják meg?
A M&S hackelésének korai szakaszában ismeretlen források azt mondták a kibertanácsadó Bleeping Computernek, hogy a bizonyítékok egy laza kiberbűnöző közösségre, az úgynevezett Scattered Spiderre utalnak – de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport a szó klasszikus értelmében. Inkább egy közösség, amely különböző platformokon, mint a Discord, Telegram és fórumok, szerveződik – ezért nevezték őket „szétszórtnak”. Ismeretes, hogy angolul beszélnek, valószínűleg az Egyesült Királyságban és az Egyesült Államokban élnek, és fiatalok – esetenként tinédzserek. Ezt tudjuk a kutatóktól és a korábbi letartóztatásokból. Novemberben az Egyesült Államok öt férfit és fiút vádolt meg a Scattered Spider tevékenységek állítólagos részvételéért. Az egyikük egy 22 éves skót férfi, Tyler Buchanan, aki nem tett vallomást, a többiek pedig az Egyesült Államokban élnek. A rendőrségi intézkedések látszólag nem gyakoroltak hatást a hack
Ezeket is érdemes megnézni
Izraeli erők bezárják az ENSZ által működtetett iskolákat Kelet-Jeruzsálemben
Mennyire előnyös az Egyesült Királyság kereskedelmi megállapodása Amerikának?
