Levél a M&S hekkereitől: ez történt ezután

Szinte naponta érkeznek üzenetek a telefonomra különböző hackerektől, akik mind más-más célokkal és szándékokkal bírnak. Ezen üzenetek többsége, amelyeket az elmúlt több mint egy évtized során gyűjtöttem össze, nem vezetett híranyaghoz, de egy nemrégiben érkezett üzenet annyira figyelemfelkeltő volt, hogy képtelenség volt figyelmen kívül hagyni. Az üzenetben a BBC egyik riportere, Joe Tidy kérdezett a Co-op hírrel kapcsolatban, és azt állította, hogy van némi információjuk, amit megosztanának velem. Amikor megkérdeztem, miről van szó, kiderült, hogy a névtelen Telegram-fiók mögött álló személyek állítólagos hackerek, akik azt állítják, hogy komoly zavart okoztak az M&S és a Co-op rendszereiben.

Az öt órás párbeszéd során világossá vált, hogy ezek az emberek folyékonyan beszélnek angolul, és bár azt mondták, hogy csak közvetítők, nyilvánvaló volt, hogy szoros kapcsolatban állnak a két cég hackelésével. Különböző bizonyítékokat osztottak meg arról, hogy nagy mennyiségű ügyfél- és munkavállalói adatot loptak el. Ellenőriztem a megosztott adatok egy részét, majd azonnal töröltem azokat a biztonság érdekében. A hackerek csalódottak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi Bitcoint követelnek a kiskereskedőtől, cserébe azért, hogy ne adják el vagy ne osszák meg a lopott adatokat.

A BBC szerkesztőségi politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében jelentést teszünk arról, hogy bizonyítékot kaptunk a hackerek részéről, akik azt állították, hogy felelősek a támadásért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és perceken belül a cég, amely kezdetben bagatellizálta a hackelést, elismerte a munkavállalóknak, az ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst. Később a hackerek egy hosszas, dühös és sértő levelet küldtek nekem a Co-op reakciójáról a hackelésükre és a követeléseikre, amelyből kiderült, hogy a kiskereskedő szoros határon állt egy súlyosabb hackelés elkerülésétől, miután beavatkoztak a számítógépes rendszereik behatolásának zűrzavaros perceiben.

A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők mondtak a kiskereskedelmi támadások hullámának kezdetén: a hackerek a DragonForce nevű kiberbűnöző szolgáltatás tagjai voltak. De kik is ők valójában? A hackerekkel folytatott beszélgetéseink és a szélesebb körű tudásunk alapján vannak gyanúink. A DragonForce különböző szolgáltatásokat kínál a kiberbűnöző partnereinek a darkneten, cserébe a begyűjtött váltságdíjak 20%-ának elosztásáért. Bárki regisztrálhat, és kihasználhatja a rosszindulatú szoftvereiket, hogy megzavarja egy áldozat adatait, vagy felhasználhatja a darknet oldalukat nyilvános zsarolásra. Ez a szervezett kiberbűnözés normájává vált; ezt hívják váltságdíj-szolgáltatásnak.

A legutóbbi idők legismertebb szolgáltatása a LockBit nevű szolgáltatás volt, de ez szinte már nem működik, mivel tavaly a rendőrség lebuktatta. Az ilyen csoportok felszámolása után hatalmi űr alakult ki, amely versenyt generált a dominanciaért az alvilágban, ami néhány rivális csoport innovációjához vezetett. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackereknek, például 24/7-es ügyfélszolgálatot. A csoport már legalább 2024 eleje óta hirdeti szélesebb ajánlatát, és 2023 óta aktívan célba veszi a szervezeteket.

A DragonForce eddigi működési módja az, hogy nyilvánosságra hozza az áldozatait, ahogyan ezt 2024 decembere óta 168 alkalommal tette. Viszont eddig a DragonForce hallgatott a kiskereskedelmi támadásokról. Általában az ilyen támadások körüli csend azt jelzi, hogy az áldozati szervezet kifizette a hackereket, hogy ne terjesszék a hírt. Mivel a DragonForce, a Co-op és az M&S sem kommentálta ezt a kérdést, nem tudhatjuk, mi történik a háttérben. A DragonForce mögött álló személyek azonosítása nehéz, és nem tudni, hol találhatók. Amikor megkérdeztem a Telegram-fiókjukat erről, nem kaptam választ.

Bár a hackerek nem mondták ki egyértelműen, hogy ők állnak a közelmúlt M&S és Harrods hackelése mögött, megerősítették a Bloomberg által közzétett jelentést, amely ezt kifejtette. Természetesen bűnözőkről van szó, és hazudhatnak. Néhány kutató szerint a DragonForce Malajziában található, míg mások Oroszországra gyanakodnak, ahol sok ilyen csoport működik. Az viszont biztos, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy programja, csupán profitra törekednek. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára, akkor ki irányítja a szálakat, és választja ki, hogy melyik brit kiskereskedőt támadják meg? A kiskereskedelmi támadások kezdeti szakaszában ismeretlen források tájékoztatták a kiberhírek oldalát, hogy a bizonyítékok egy laza kiberbűnöző közösségre, a Scattered Spiderre utalnak – de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem igazán csoport a szó hagyományos értelmében, inkább egy közösség, amely különböző platformokon, például Discordon, Telegramon és fórumokon szerveződik. Ismeretes, hogy angolul beszélnek, valószínűleg az Egyesült Királyságban és az Egyesült Államokban élnek, és fiatalok – esetenként tinédzserek. Erről a kutatók és a korábbi letartóztatások révén van információnk.

A múlt hónapban az Egyesült Államok öt férfit és fiatalot vádolt meg állítólagos Scattered Spider tevékenység miatt. Az egyikük a 22 éves skót Tyler Buchanan, aki nem tett vallomást, a többiek az Egyesült Államokban élnek. A rendőrségi intézkedések látszólag nem gyakoroltak hatást a hackerek eltökéltségére. Csütörtökön a Google kiberbiztonsági részlege figyelmeztetett, hogy már az Egyesült Államok kiskereskedelmeit is elkezdik célba venni a Scattered Spiderhez hasonló támadások. A Telegramon beszélgető hackerek azonban elutasították a választ arra a kérdésre, hogy ők-e a Scattered Spider. „Erre a kérdésre nem válaszolunk” – ezt mondták.

Talán a hackerek éretlenségére és figyelemfelkeltés

Forrás: https://www.bbc.com/news/articles/cgr5nen5gxyo