Hackerek levele érkezett a postaládámba – ez történt ezután
Szinte mindennap érkeznek üzenetek a telefonomra különböző hackerektől, akik a jó, a rossz és a bizonytalan kategóriákba sorolhatók. Már több mint egy évtizede foglalkozom kiberbiztonsággal, így tudom, hogy sokan közülük szívesen mesélnek a hekkelt rendszerekről, tapasztalataikról és kalandjaikról. Ezeknek a beszélgetéseknek körülbelül 99%-a a csevegési naplómban marad, és nem vezet hírekhez. Azonban egy nemrégiben érkezett üzenetet lehetetlen volt figyelmen kívül hagyni. „Helló. Itt Joe Tidy a BBC-től, a Co-op híreivel kapcsolatban?” – írta egy hacker a Telegramon. „Van egy hírünk számodra” – folytatta, mintegy provokálva. Amikor óvatosan megkérdeztem, miről van szó, az üzenetküldő, akinek nem volt neve vagy profilképe, elmesélte, mit állítanak, hogy tettek az M&S és a Co-op ellen, olyan kibertámadások révén, amelyek jelentős zavart okoztak. Az ezt követő öt órás üzenetváltás során egyértelművé vált számomra, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csak közvetítők, nyilvánvaló volt, hogy szoros kapcsolatban állnak, ha nem éppen közvetlenül részt vesznek az M&S és a Co-op hekkelt állapotában. Bizonyítékokat osztottak meg velem, amelyek alátámasztották, hogy hatalmas mennyiségű privát ügyfél- és munkavállalói információt loptak el. Ellenőriztem egy mintát az általuk megadott adatokból, majd biztonságosan töröltem azt. Nyilvánvalóan frusztráltak voltak amiatt, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, hogy mennyi pénzt követelnek Bitcoinban a kiskereskedőtől cserébe azért, hogy ne értékesítsék vagy adják tovább az ellopott adatokat. A BBC Szerkesztőségi Politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében jelenteni fogjuk, hogy bizonyítékokat kaptunk, amelyek megerősítik a hackertámadásért való felelősségüket. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a cég, amely kezdetben leértékelte a támadást, elismerte a munkavállalóknak, az ügyfeleknek és a tőzsdének a jelentős adatvédelmi incidenst.
Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról a hackjükre és a későbbi zsarolásukra, amelyből kiderült, hogy a kiskereskedő éppenhogy elkerülte egy súlyosabb hackertámadás elkerülését, miután beavatkoztak a káoszban, amely a számítógépes rendszereik behatolásának pillanataiban zajlott. A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már régóta mondanak – a hackerek egy kiberbűnözői szolgáltatás, a DragonForce tagjai. De kik is ezek a DragonForce hackerek? A velük folytatott beszélgetések és a szélesebb körű tudás alapján van néhány információnk. A DragonForce különböző szolgáltatásokat kínál a kiberbűnözőknek a darknet oldalán, cserébe a begyűjtött váltságdíjak 20%-áért. Bárki regisztrálhat, és használhatja a kártékony szoftverüket egy áldozat adatainak titkosítására, vagy használhatja darknet weboldalukat nyilvános zsarolásra. Ez vált a szervezett kibertámadások normájává, amelyet zsarolás mint szolgáltatásnak neveznek. Az utóbbi időszak legismertebb szolgáltatása a LockBit volt, de ez a rendőrség tavalyi akciója miatt gyakorlatilag megszűnt. Az ilyen csoportok lebontása után hatalmi űr keletkezett, amelyben a rivális csoportok innoválták ajánlataikat. A DragonForce nemrégiben kartellé alakult, amely még több lehetőséget kínál a hackerek számára, például 24/7 ügyfélszolgálatot. A csoport legalább 2024 eleje óta hirdeti szélesebb körű ajánlatát, és 2023 óta aktívan céloz meg szervezeteket, mondják a kiber szakértők, mint például Hannah Baumgaertner, a Silobreaker kiberkockázat-védelmi cég kutatási vezetője.
A DragonForce legújabb modellje olyan funkciókat kínál, mint az adminisztrációs és ügyfélportálok, titkosítás, valamint zsarolásra vonatkozó tárgyalási eszközök. A hatalmi harc éles példájaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub feltörte és megrongálta, mielőtt körülbelül egy héttel ezelőtt újra megjelent. „A zsarolás ökoszisztémájának hátterében úgy tűnik, hogy van egy kis lökdösődés – ami lehet a ‘vezető’ pozícióért folyó harc, vagy egyszerűen csak más csoportok zavarása, hogy növeljék az áldozatok számát” – mondta Aiden Sinnott, a Sophos kiberbiztonsági cég vezető fenyegetéskutatója.
A DragonForce szokásos működési módja, hogy posztol a saját áldozatairól, ahogyan azt 2024 decemberétől kezdődően 168 alkalommal tette – egy londoni könyvelőiroda, egy illinoisi acélgyár, egy egyiptomi befektetési cég mind szerepel a listájukon. Mindazonáltal a DragonForce eddig hallgatott a kiskereskedelmi támadásokról. A támadásokkal kapcsolatos csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy tartsák titokban az ügyet. Mivel sem a DragonForce, sem a Co-op, sem az M&S nem kommentálta ezt a kérdést, nem tudjuk, mi történik a színfalak mögött. A DragonForce mögött álló személyek azonosítása nehéz, és nem tudni, hol találhatók. Amikor megkérdeztem a Telegram fiókjukat erről, nem kaptam választ. Bár a hackerek nem mondták el egyértelműen, hogy ők állnak a legutóbbi M&S és Harrods hekkelt állapota mögött, megerősítették egy Bloomberg jelentést, amely ezt világosan kifejtette. Természetesen bűnözők, és hazudhatnak. Néhány kutató szerint a DragonForce Malajziában van, míg mások Oroszországra utalnak, ahol sok ilyen csoport feltételezhetően található. Azt tudjuk, hogy a DragonForce-nak nincs specifikus célja vagy napirendje, csak a pénzkeresés. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára – akkor ki húzza a szálakat és dönti el, hogy angliai kiskereskedőket támad? Az M&S hackelésének korai szakaszában ismeretlen források azt mondták a kiberhírekkel foglalkozó Bleeping Computernak, hogy a bizonyítékok egy laza kiberbűnözői kollektívára, a Scattered Spiderre mutatnak – de ezt a rendőrség még nem erősítette meg. A
