Megérkezett a M&S hackerek levele – ez történt ezután
Szinte mindennap érkeznek üzenetek a telefonomra különféle hekkerektől, akik különböző indíttatásúak és szándékúak. Több mint egy évtizede foglalkozom a kiberbiztonsággal, így jól tudom, hogy sokan közülük szeretnek beszélni a hackeléseikről, felfedezéseikről és kalandjaikról. Ezeknek a beszélgetéseknek körülbelül 99%-a sosem válik hírré, a chat naplómban ragad. De nemrég egy üzenet annyira figyelemfelkeltő volt, hogy nem tudtam figyelmen kívül hagyni. „Helló. Itt Joe Tidy a BBC-től, a Co-op híreivel kapcsolatban, ugye?” – írták nekem a hekkerek a Telegramon. „Van egy kis hírünk számodra” – tették hozzá sejtelmesen. Amikor óvatosan megkérdeztem, miről van szó, a névtelen, profilkép nélküli Telegram-fiók mögött állók elmondták, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kibertámadások révén, amelyek tömeges zűrzavart okoztak. Az öt órás üzenetváltás során világossá vált számomra, hogy ezek a hekkerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak közvetítők, egyértelmű volt, hogy szorosan kapcsolódnak – ha nem közvetlenül részt vesznek – az M&S és a Co-op hackelésében. Bizonyítékokat osztottak meg arról, hogy hatalmas mennyiségű magán ügyfél- és alkalmazotti információt loptak el. Ellenőriztem egy mintát az általuk megadott adatokból, majd biztonságosan töröltem. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, hogy pontosan mennyit követelnek Bitcoinban a kiskereskedőtől a lopott adatok eladásának vagy átadásának megtagadásáért. A BBC szerkesztési politikai csapatával való konzultáció után úgy döntöttünk, hogy a közérdek érdekében jelentést teszünk arról, hogy bizonyítékot kaptunk a hekkerektől, ami igazolta, hogy ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és perceken belül a cég, amely kezdetben lekicsinyelte a hackertámadást, beismerte az alkalmazottaknak, ügyfeleknek és a tőzsdének a jelentős adatszivárgást. Később a hekkerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackjükre és a későbbi zsarolásukra, amelyből kiderült, hogy a kiskereskedő szoros határon úszta meg a súlyosabb hackertámadást, miután beavatkoztak a kaotikus percekben, amikor a számítógépes rendszereikbe behatoltak.
A levél és a hekkerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már korábban mondtak a kiskereskedőket érintő támadások hullámának kezdete óta: a hekkerek a DragonForce nevű kiberbűnöző szolgáltatásból származnak. Kérdezheti, hogy kik is azok a DragonForce? A hekkerekkel folytatott beszélgetéseink és a szélesebb körű tudásunk alapján van néhány nyomunk. A DragonForce különféle szolgáltatásokat kínál a kiberbűnöző partnereinek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-ának részesedéséért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy zűrzavart okozzon egy áldozat adataiban, vagy a darknet weboldalukat a nyilvános zsarolásra. Ez mára általánossá vált a szervezett kiberbűnözésben; ezt ransomware-as-a-service néven ismerjük. Az utóbbi idők leghíresebb szolgáltatása a LockBit volt, de ez mostanra gyakorlatilag megszűnt, részben azért, mert tavaly a rendőrség lebuktatta. E csoportok felszámolása után hatalmi vákuum alakult ki, amely versengést eredményezett az alvilágban, ami egyes rivális csoportok innovációját hozta magával. A DragonForce nemrégiben kartellé alakult át, amely még több lehetőséget kínál a hekkerek számára, például 24/7-es ügyfélszolgálatot. A csoport az ajánlatát legalább 2024 eleje óta hirdeti, és 2023 óta aktívan célba veszi a szervezeteket, a kiberbiztonsági szakértők, mint például Hannah Baumgaertner, a Silobreaker kiberkockázat-védelmi cég kutatási vezetője szerint. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyféltáblák, titkosítás és váltságdíj tárgyalási eszközök és még sok más” – mondta Baumgaertner.
A hatalmi harc éles példájaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub feltörte és megrongálta, mielőtt körülbelül egy héttel ezelőtt újra megjelent. „A ransomware ökoszisztéma mögött úgy tűnik, hogy van némi lökdösődés – ami lehet a ‘vezető’ pozícióért folytatott harc, vagy csak a más csoportok zavarására irányul, hogy több áldozati részesedést szerezzenek” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója. A DragonForce elterjedt működési módszere az, hogy posztol az áldozatairól, ahogy ezt 2024 decemberéig 168 alkalommal megtette – egy londoni könyvelőiroda, egy illinoisi acélgyártó, egy egyiptomi befektetési cég mind szerepel a listán. Azonban eddig a DragonForce a kiskereskedelmi támadásokról hallgatott. A támadásokkal kapcsolatos csend általában azt jelzi, hogy az áldozati szervezet kifizette a hekkereknek, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a háttérben. Megállapítani, hogy kik állnak a DragonForce mögött, nehéz, és nem ismert, hol találhatók. Amikor erre a Telegram-fiókra kérdést tettem fel, nem kaptam választ. Bár a hekkerek nem mondták el kifejezetten, hogy ők állnak a legutóbbi M&S és Harrods hackertámadások mögött, megerősítették egy Bloomberg-jelentést, amely ezt kifejtette. Természetesen bűnözők, és hazudhatnak. Néhány kutató szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoport működik. Azt tudjuk, hogy a DragonForce-nak nincs specifikus célja vagy napirendje, csak a pénzszerzés. Ha a DragonForce csupán a szolgáltatás a többi bűnöző számára – akkor ki húzza a szálakat és választja ki, hogy mely brit kiskereskedőket támadja meg? Az M&S hack korai szakaszában ismeretlen források azt mondták a Bleeping Computer kiberhíroldalnak, hogy a bizonyítékok egy laza kiberbűnöző közösségre, a Scattered Spiderre
Ezeket is érdemes megnézni
A Snowden film szereposztása és a főbb karakterek bemutatása
Sikoly 2 szereposztás: Kik lépnek a borzongás színpadára?
