Az M&S hekkerek levele: ez történt ezután

Nap mint nap érkeznek üzenetek a telefonomra különböző hekkerektől, akik között vannak jó szándékú, rossz szándékú és a nem túl biztos szándékúak is. Több mint egy évtizede foglalkozom kiberbiztonsággal, így tudom, hogy sokan szeretnek beszélni a hackeléseikről, felfedezéseikről és kalandjaikról. Az üzenetek 99%-a azonban a csevegési naplóimban marad, nem vezetnek hírekhez. Nemrég azonban egy üzenet, amelyet nem tudtam figyelmen kívül hagyni, érkezett a telefonomra. „Helló! Joe Tidy vagyok a BBC-től, és a Co-op híreivel kapcsolatban kereslek, igaz?” – írták a hekkerek a Telegramon. Amikor óvatosan megkérdeztem, miről van szó, a névtelen és profilkép nélküli Telegram-fiók mögött álló emberek részletes információkat osztottak meg arról, amit állításuk szerint végrehajtottak az M&S és a Co-op ellen, olyan kibertámadások során, amelyek tömeges zűrzavart okoztak. Az ezt követő öt órás üzenetváltásból nyilvánvalóvá vált, hogy ezek a hekkerek folyékonyan beszélnek angolul, és noha azt állították, hogy csak közvetítők, egyértelmű volt, hogy szoros kapcsolatban állnak az M&S és a Co-op hackelésével.

Bizonyítékokat osztottak meg velem, amelyek igazolták, hogy hatalmas mennyiségű magán ügyfél- és alkalmazotti információt loptak el. Ellenőriztem egy mintát az általuk megadott adatokból, majd biztonságosan töröltem azokat. Nyilvánvalóan frusztráló volt számukra, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, hogy mennyi Bitcoinra van szükségük a kiskereskedőtől cserébe azért, hogy ne adják el vagy ne osszák meg a lopott adatokat. A BBC szerkesztőségi politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy közérdekből számolunk be arról, hogy bizonyítékot kaptunk, amely megerősíti, hogy ők felelősek a hackért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, hogy kommentárt kérjek, és néhány percen belül a cég, amely kezdetben bagatellizálta a támadást, elismerte a dolgozóknak, ügyfeleknek és a tőzsdének a jelentős adatszivárgást.

Később a hekkerek egy hosszú dühös és támadó levelet küldtek nekem a Co-op reakciójáról a hackelésükre és az azt követő zsarolásra, amelyből kiderült, hogy a kiskereskedő szoros határvonalon múlt, hogy elkerülje egy súlyosabb hackelést, amikor beavatkoztak a számítógépes rendszerek behatolása utáni kaotikus percekben. A levél és a hekkerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők mondtak a kiskereskedelmi támadások hullámának kezdete óta – a hekkerek egy kiberbűnöző szolgáltatásból, a DragonForce-ból származtak.

De kik is ezek a DragonForce hekkerek? A beszélgetéseink és a szélesebb körű ismeretek alapján van néhány sejtésünk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnöző partnereinek a sötét weben, cserébe a beszedett váltságdíjak 20%-ának részvételéért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy a sértett adatait összezavarja, vagy a sötét webes oldalakat a nyilvános zsarolásra. Ez mára a szervezett kiberbűnözés normájává vált, amelyet váltságdíjként szolgáltatott szoftvernek (ransomware-as-a-service) neveznek. Az utóbbi időszak legrosszabb hírű szolgáltatása a LockBit volt, de ez gyakorlatilag megszűnt, részben azért, mert tavaly a rendőrség leleplezte.

Ezeknek a csoportoknak a felszámolása után hatalmi vákuum keletkezett. Ez vezetett egy hatalmi harchoz ebben a földalatti világban, amely néhány rivális csoport innovációjához vezetett. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hekkereknek, például 24/7 ügyfélszolgálatot. A csoport már 2024 eleje óta hirdeti szélesebb ajánlatát, és 2023 óta aktívan célzott szervezetekre, a kiberbiztonsági szakértők, például Hannah Baumgaertner, a Silobreaker kiberkockázati védelmi cég kutatási vezetője szerint.

A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyféltáblák, titkosítás és váltságdíj-tárgyalási eszközök. A hatalmi harc éles példájaként a DragonForce sötét webes oldalát nemrégiben egy rivális banda, a RansomHub feltörte és megrongálta, mielőtt körülbelül egy héttel ezelőtt újra megjelent volna. A ransomware ökoszisztéma mögött látszólag némi tolakodás zajlik, ami lehet a „vezető” pozícióért folytatott harc, vagy csak más csoportok megzavarására irányul, hogy nagyobb részesedést szerezzenek a sértettekből.

A DragonForce prolifikus működési módja az, hogy nyilvánosságra hozza áldozatait, ahogy tette ezt 168 alkalommal 2024 decembere óta – egy londoni könyvelőiroda, egy illinoisi acélgyártó, egy egyiptomi befektetési cég mind szerepel a listán. Azonban eddig a DragonForce néma maradt a kiskereskedelmi támadásokkal kapcsolatban. A támadások körüli néma csend általában arra utal, hogy az áldozat szervezet kifizette a hekkereknek, hogy ne beszéljenek. Mivel a DragonForce, a Co-op és az M&S sem kommentálta ezt a kérdést, nem tudjuk, mi történik a színfalak mögött.

Nehezen állapítható meg, hogy kik állnak a DragonForce mögött, és nem tudni, hol találhatóak. Amikor a Telegram-fiókjuktól megkérdeztem, nem kaptam választ. Bár a hekkerek nem mondták el egyértelműen, hogy ők állnak a közelmúltban az M&S és a Harrods ellen végrehajtott hackelések mögött, megerősítették egy Bloomberg jelentését, amely ezt kimondta. Természetesen bűnözők, és hazudhatnak. Egyes kutatók szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoport működik. Tudjuk, hogy a DragonForce-nak nincs konkrét célpontja vagy napirendje, csak pénzt akarnak keresni. Ha a DragonForce csupán egy szolgáltatás a többi bűnöző számára – ki áll a háttérben és választja ki, hogy mely brit kiskereskedők legyenek a célpontok?

A M&S hackelésének korai szakaszában ismeretlen források azt mondták a kiberhírekkel foglalkozó Bleeping Computer weboldalnak, hogy a bizonyítékok egy laza kiberbűnözői kollektívára, a Scattered Spiderre utalnak – de ezt a rendőrség még nem erősít

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo