Rablók üzenete az M&S-től: ez történt ezután

Szinte naponta érkeznek üzenetek a telefonomra különböző hacker csoportoktól, akik között vannak jó szándékúak, rossz szándékúak és olyanok is, akiknek szándékai nem egyértelműek. Több mint egy évtizede foglalkozom kiberbiztonsággal, így tisztában vagyok azzal, hogy sokan közülük szeretnek beszélni a hackjeikről, felfedezéseikről és különféle kalandjaikról. Ezek közül a beszélgetések közül körülbelül 99% nem vezet hírekhez, és szigorúan a chateimben maradnak. Azonban egy legutóbbi üzenet, amelyet kaptam, egyszerűen figyelmen kívül hagyhatatlannak bizonyult. „Helló, Joe Tidy vagyok a BBC-től, és a Co-op híreivel kapcsolatban kereslek, ugye?” – írták nekem a hackerek a Telegramon. „Van egy hírünk számodra” – incselkedtek.

Amikor óvatosan megkérdeztem, miről van szó, a névtelen, profilkép nélküli Telegram fiók mögött álló személyek elmondták, hogy mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kibertámadások révén, amelyek jelentős zűrzavart okoztak. Az ezt követő ötfős üzenetváltás során egyértelművé vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak üzenetet közvetítenek, nyilvánvaló volt, hogy szorosan összefonódnak az M&S és a Co-op hackelésével. Bizonyítékokat osztottak meg velem, amelyek azt bizonyították, hogy hatalmas mennyiségű privát ügyfél- és alkalmazottinformációt loptak el. Ellenőriztem az általuk adott adatok egy mintáját, majd biztonságosan töröltem azt. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, hogy mennyi pénzt kérnek Bitcoinban a kiskereskedőtől cserébe azért, hogy ne adják el vagy osszák meg az ellopott adatokat.

A BBC Szerkesztőségi Politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy az közérdeket szolgál, ha beszámolunk arról, hogy bizonyítékokat kaptunk arról, hogy felelősek a hackért. Gyorsan kapcsolatba léptem a Co-op sajtócsapatával, és néhány percen belül a cég, amely kezdetben leértékelte a hackelést, elismerte az alkalmazottaknak, ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op hackjükre és az azt követő zsarolásra adott válaszáról, amelyből kiderült, hogy a kiskereskedő nagyon keskeny határon mozgott, amikor a számítógépes rendszereit feltörték. A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kiberbiztonsági szakértők már régóta mondanak a kiskereskedelmet célzó támadások hullámának kezdete óta: a hackerek a DragonForce nevű kiberbűnöző szolgáltatásból származnak.

De kik is azok a DragonForce? A hackerekkel folytatott beszélgetéseink és a tágabb tudásunk alapján van néhány sejtésünk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnöző partnereinek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-ának fejében. Bárki regisztrálhat, és használhatja a kártékony szoftvereiket, hogy megzavarja egy áldozat adatait, vagy a darknet weboldalukat a nyilvános zsarolásra. Ez már a szervezett kiberbűnözés normájává vált; ezt ransomware-as-a-service néven ismerjük. Az utóbbi időszak legismertebb szolgáltatása a LockBit volt, de ez szinte teljesen működésképtelenné vált, részben azért, mert tavaly a rendőrség lebuktatta. Az ilyen csoportok felszámolása után hatalmi űr keletkezett, amely küzdelmet indított az alvilágban a dominancia megszerzéséért, ami néhány rivális csoport innovációját eredményezte. A DragonForce nemrégiben új branddel jelentkezett, mint egy kartell, amely még több lehetőséget kínál a hackereknek, például 24/7 ügyfélszolgálatot.

A csoport már legalább 2024 eleje óta hirdeti szélesebb ajánlatát, és a kiberbiztonsági szakértők, mint például Hannah Baumgaertner, a Silobreaker kutatási vezetője szerint 2023 óta aktívan célzott szervezeteket. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és klienspanelek, titkosítás és váltságdíj-tárgyalási eszközök” – mondta Baumgaertner. A hatalmi harc éles illusztrációjaként a DragonForce darknet weboldalát nemrégiben feltörte és meggyalázta egy rivális banda, a RansomHub, mielőtt körülbelül egy héttel ezelőtt újra megjelent. „A ransomware ökoszisztéma hátterében úgy tűnik, hogy némi lökdösődés zajlik – ez lehet a ‘vezető’ pozícióért folytatott küzdelem vagy csak más csoportok zavarása, hogy nagyobb részesedést szerezzenek az áldozatokból” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója.

A DragonForce elterjedt módszere az, hogy nyilvánosságra hozza áldozatait, ahogyan azt 2024 decemberéig 168 alkalommal tette, beleértve egy londoni könyvelőirodát, egy illinoisi acélgyárat és egy egyiptomi befektetési céget. Azonban eddig a DragonForce csendben maradt a kiskereskedelmi támadásokkal kapcsolatban. A támadások körüli csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a színfalak mögött.

Mivel a DragonForce mögött álló emberek kilétének megállapítása nehéz, és nem tudni, hol találhatók, amikor megkérdeztem a Telegram fiókjukon erről, nem kaptam választ. Bár a hackerek nem mondták el egyértelműen, hogy ők állnak a közelmúltbeli M&S és Harrods hackek mögött, megerősítették a Bloomberg jelentését, amely ezt kifejtette. Természetesen bűnözők, és hazudhatnak. Néhány kutató szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoportot feltételeznek. Tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy programja, kivéve a pénzszerzést. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára – ki irányítja a szálakat és választja ki, hogy melyik brit kiskereskedőt támadják meg? Az M&S hackjának korai szakaszában ismeretlen források arról tájékoztatták a kiberhírekkel foglalkozó Bleeping Computert, hogy a bizonyítékok egy laza kiberbű

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo