Fiatal amerikai és brit hackerek állhatnak a kiskereskedelmi támadások mögött, állítják a nyomozók
Az Egyesült Királyság kiskereskedőit sújtó kibertámadások következményei már hetek óta nyilvánvalóak. Az üres polcok, a lemondott online megrendelések és a milliónyi ügyfél adatainak ellopása mind-mind arra utal, hogy komoly problémával állunk szemben. A támadások hátterében álló felelősök kiléte azonban sokáig ködös volt, a cégek és hatóságok csak korlátozott információkat osztottak meg. Most azonban a Nemzeti Bűnüldözési Ügynökség (NCA) első alkalommal nyilatkozott a helyzetről, és egy jól ismert kibertámadó csoportot, a Scattered Spider-t nevezték meg a nyomozás középpontjában.
A Scattered Spider nemcsak a neve miatt figyelemfelkeltő, hanem azért is, mert a csoport tagjainak többsége fiatal, sokan közülük tinédzserek. Emellett az is szembetűnő, hogy ők angol anyanyelvűek, ami szokatlan, mivel a legmagasabb rangú kibertámadók jellemzően más országokból, például Oroszországból vagy Észak-Koreából származnak. A csoport résztvevőiről már régóta spekulálnak a brit kiskereskedelmi hekkerek ügyében, de most először erősítette meg a rendőrség, hogy ezt a lehetőséget aktívan vizsgálják. Paul Foster, az NCA kiberbűnözési egységének vezetője egy új BBC dokumentumfilmben azt nyilatkozta: „A Scattered Spider néven ismert csoportot vizsgáljuk, de több eltérő hipotézist is figyelembe veszünk, és a bizonyítékok nyomán fogunk eljutni a tettesekhez.” Hozzátette: „A látott károk fényében a legfőbb prioritásunk, hogy elkapjuk azokat, akik ezeket a támadásokat irányítják.”
A támadásokat a DragonForce nevű platform segítségével hajtották végre, amely lehetőséget biztosít a bűnözőknek ransomware támadások végrehajtására. Azonban a háttérben álló hekkerek egyelőre nem lettek azonosítva, és letartóztatások sem történtek. Néhány kibert biztonsági szakértő megjegyezte, hogy a támadók viselkedése a Scattered Spider csoport jellemzőit mutatja, amely egy laza közösségből áll, jellemzően fiatalokból, akik Discord, Telegram és egyéb fórumok révén szerveződnek, és valószínűleg az Egyesült Királyságban és az Egyesült Államokban találhatók. Az NCA is azt állítja, hogy minden részletet megvizsgál a kibertámadások ökoszisztémájában, de ők is a Scattered Spider irányába koncentrálnak.
Az M&S áruházláncot ransomware támadás érte, amely miatt a cég szerverei működésképtelenné váltak. A kiskereskedő már hetek óta küzd azzal, hogy feltöltse polcait, és az online vásárlásokat is felfüggesztette. A hekkerek emellett ügyfél- és alkalmazotti adatokat is elloptak az áruházból. A Co-op esetében a munkatársak leállították a rendszereket, hogy megakadályozzák a ransomware fertőzést, de így is hatalmas mennyiségű ügyfél- és munkatársi adatot loptak el, amelyet most váltságdíj fejében tartanak vissza. A cég szupermarketjei és temetkezési szolgáltatásai súlyosan érintettek, a helyzet pedig a Harrods esetében is aggasztó, ahol a cég elismerte, hogy számítógépes rendszereket kellett lekapcsolnia egy kibertámadás kísérlete miatt.
A hekkerek, akik az M&S és a Co-op támadásait végrehajtották, a BBC-nek anonim módon nyilatkoztak, de nem árulták el, hogy ők lennének-e a Scattered Spider csoport tagjai. A CrowdStrike kibervédelmi kutatói a csoport nevét annak szeszélyes természetére alapozva alkották meg, de más kibervédelmi cégek is adtak nekik beceneveket, mint például Octo Tempest vagy Muddled Libra. A csoport magas rangú támadásokhoz is köthető, például két amerikai kaszinó 2023-as megtámadásához és a Transport for London tavalyi kibertámadásához. Novemberben az Egyesült Államok öt brit és amerikai fiatal férfit és fiút vádolt meg a Scattered Spider tevékenységével.
A NCA nyomozói nem kívánták kommentálni, hogy a kiskereskedelmi hekkerek hogyan tudták áthatolni az áldozatok szervezetein, de a Nemzeti Kibervédelmi Központ korábban útmutatást adott a szervezeteknek, hogy vizsgálják felül IT segítségnyújtó központjaik jelszó-visszaállítási folyamatait. „Az IT segítségnyújtó központok felhívása olyan taktika, amelyet a Scattered Spider szereti, és szociális manipulációs technikákat használnak, hogy rábírjanak valakit, például kattintásra vagy jelszó visszaállítására” – magyarázta Lisa Forte, a Red Goat kibervédelmi cég szakértője. Az BBC dokumentumfilmjében egy korábbi tinédzser hacker, aki kilenc évvel ezelőtt letartóztatásra került és most kibervédelmi szakértőként dolgozik, elmondta, hogy nem meglepő számára, hogy fiatalok állhatnak a támadások mögött. „Nem lep meg – éppen ellenkezőleg. Az eszközök könnyen hozzáférhetők, és nagyon egyszerű online keresni. Az ember úgy érezheti, hogy nem lehet megérinteni, de miért is? 99%-ban letartóztatják” – tette hozzá.
A kibertámadások következményeként a M&S weboldala leállt, de most újra elérhető, ám az online rendeléseket továbbra is felfüggesztették. Az amerikai lánc a „nagyon kihívásokkal teli környezetet” okolja a forgalom éles csökkenéséért. Az HSBC képviselője, Ian Stuart elmondta, hogy a bankok hatalmas összegeket költenek IT rendszereik megerősítésére. Az Peter Green Chilled logisztikai cég, amely nagy szupermarketeknek szállít, viszonylag kicsi a versenytársaihoz képest.
