Megérkezett a M&S hackerek levele – ez történt ezután
Nap mint nap érkeznek üzenetek a telefonomra, különböző hackerek részéről. Ezek az üzenetek változatosak: vannak köztük jó szándékú, rossz szándékú és olyanok is, akiknek a szándékai nem teljesen egyértelműek. Több mint egy évtizede foglalkozom kibervédelemmel, így jól tudom, hogy sok hacker szívesen beszél a hackeléseiről, felfedezéseiről és kalandjairól. Ezeknek az interakcióknak körülbelül 99%-a azonban szigorúan titokban marad, és nem vezet hírekhez. Viszont egy nemrégiben érkezett üzenet figyelmen kívül hagyhatatlan volt. „Helló. Itt Joe Tidy a BBC-től, a Co-op híreivel kapcsolatban írok, igaz?” – olvashattam a Telegramon. „Van egy hírünk számodra” – írták, szinte játékosan. Amikor óvatosan érdeklődtem, hogy mi is ez a hír, a névtelen és profilkép nélküli Telegram-fiók mögött álló személyek részletes információkat osztottak meg arról, hogy mit állítanak, hogy elkövettek a M&S és a Co-op ellen, olyan kibertámadások révén, amelyek tömeges zűrzavart okoztak.
Az ezt követő öt órás üzenetváltás során világossá vált számomra, hogy a feltételezett hackerek folyékonyan beszélnek angolul, és noha magukat hírvivőknek tartották, nyilvánvaló volt, hogy szoros kapcsolatban állnak a M&S és a Co-op hackjeivel. Bizonyítékokat osztottak meg, amelyek szerintük azt igazolták, hogy jelentős mennyiségű ügyfél- és alkalmazotti adatot loptak el. Ellenőriztem az általuk küldött adatok egy részletét, majd biztonságosan töröltem azokat. Nyilvánvalóan frusztrálta őket, hogy a Co-op nem engedett a váltságdíj követeléseiknek, de nem mondták meg, hogy pontosan mennyi bitcoinra lenne szükségük a kiskereskedőtől a lopott adatok eladásának vagy átadásának ígéretéért.
A BBC szerkesztési csapatával folytatott megbeszélés után úgy döntöttünk, hogy közérdekből fontos jelenteni, hogy bizonyítékokat kaptunk a hackertől, amelyek igazolják, hogy ők felelősek a kibertámadásért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a cég, amely kezdetben kicsinyítette a hack jelentőségét, elismerte az alkalmazottainak, az ügyfeleiknek és a tőzsdének a jelentős adatvédelmi incidens tényét. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op reakciójáról a hackjükre és a későbbi zsarolásra, amelyből kiderült, hogy a kiskereskedő egy szűk határvonalon megúszta a súlyosabb hackelést, miután beavatkoztak a számítógépes rendszereik bejutása után bekövetkezett kaotikus percekben.
A levél és a hackerekkel folytatott beszélgetés megerősítette azt, amit a kibervédelem szakértői már régóta mondanak, mióta ez a kiskereskedelmet sújtó kibertámadási hullám elkezdődött – a hackerek egy kibercsaló szolgáltatásból, a DragonForce-ból származnak. De kik is a DragonForce? A hackerekkel folytatott beszélgetések és a szélesebb körű ismeretek alapján néhány nyomunk van. A DragonForce különböző szolgáltatásokat kínál a kibercsaló partnereknek a darknet oldalán, cserébe a beszedett váltságdíjak 20%-ának jutalékáért. Bárki feliratkozhat, és használhatja a kártékony szoftverüket, hogy egy áldozat adatait összezavarja, vagy a darknet weboldalukat használja nyilvános zsarolásra. Ez már a szervezett kibercsalás normájává vált, amelyet váltságdíj-szolgáltatásnak neveznek. Az utóbbi időben a legismertebb ilyen szolgáltatás a LockBit volt, de ez szinte teljesen megszűnt, részben azért, mert tavaly a rendőrség lebuktatta.
A hasonló csoportok feloszlása után hatalmi vákuum keletkezett. Ezért a versengés kezdődött az alvilágban, ami néhány rivális csoport innovációjához vezetett. A DragonForce nemrégiben kartellé alakult, és még több lehetőséget kínál a hackerek számára, például 24/7-es ügyfélszolgálatot. A csoport már 2024 eleje óta hirdeti szélesebb ajánlatát, és 2023 óta aktívan célozza meg a szervezeteket, a kibervédelemmel foglalkozó szakértők, például Hannah Baumgaertner, a Silobreaker kutatási vezetője szerint. „A DragonForce legújabb modellje olyan funkciókat tartalmaz, mint az adminisztrációs és ügyfélpanel, titkosítás és váltságdíj-tárgyalási eszközök” – mondta Baumgaertner.
A hatalmi harc éles példájaként a DragonForce darknet weboldalát nemrégiben egy rivális banda, a RansomHub tört be és tett tönkre, majd körülbelül egy héttel később újra megjelent. „A váltságdíj-ökoszisztéma mögött úgy tűnik, hogy némi jostling zajlik – ez lehet a vezető pozícióért folytatott harc, vagy csak más csoportok megzavarása, hogy nagyobb részesedést szerezhessenek az áldozatokból” – mondta Aiden Sinnott, a Sophos kibervédelmi cég vezető fenyegetéskutatója. A DragonForce termékeivel kapcsolatos módszere az, hogy 168 alkalommal posztolt az áldozatairól 2024 decembere óta – egy londoni könyvelőiroda, egy illinoisi acélgyártó, egy egyiptomi befektetési cég mind szerepel a listán. De eddig a DragonForce hallgatott a kiskereskedelmi támadásokról. A támadások körüli csend általában azt jelzi, hogy az áldozat szervezet kifizette a hackereknek, hogy hallgassanak. Mivel a DragonForce, a Co-op és az M&S sem kommentálta ezt a kérdést, nem tudjuk, mi történik a háttérben.
A DragonForce mögött álló személyek azonosítása nehéz, és nem tudni, hol találhatók. Amikor erről a Telegram-fióktól érdeklődtem, nem kaptam választ. Bár a hackerek nem mondták el egyértelműen, hogy ők állnak a közelmúltban elkövetett M&S és Harrods hackek mögött, megerősítették egy Bloomberg-jelentést, amely ezt kifejtette. Természetesen bűnözők, tehát hazudhatnak is. Néhány kutató szerint a DragonForce Malajziában, míg mások szerint Oroszországban található, ahol sok ilyen csoport tevékenykedik. Azt viszont tudjuk, hogy a DragonForce-nak nincsenek konkrét célpontjai vagy programja, csak a pénzszerzés a célja. Ha a DragonForce csupán egy szolgáltatás más bűnözők számára, ki is irányítja a szálakat, és ki dönt a brit kiskereskedők megtámadásáról? Az M&S hackjeinek korai szakaszában ismeretlen források tájékoztatták a kibernyomozó oldalakat, hogy bizonyítékok utalnak egy laza kibercsaló közösségre, amelyet Sc
