BMW AG 
De verregaande spionageactiviteiten waren gericht op diplomaten die op minstens 22 van de ongeveer 80 buitenlandse missies in de Oekraïense hoofdstad Kiev werkten, aldus analisten van de onderzoeksafdeling Unit 42 van Palo Alto Networks in het rapport, dat later op woensdag wordt gepubliceerd.
"De campagne begon met een onschuldige en legitieme gebeurtenis," aldus het rapport. "Medio april 2023 e-mailde een diplomaat van het Poolse ministerie van Buitenlandse Zaken een legitieme flyer naar verschillende ambassades met reclame voor de verkoop van een gebruikte BMW 5-serie sedan in Kiev".
De Poolse diplomaat, die uit veiligheidsoverwegingen niet geïdentificeerd wilde worden, bevestigde de rol van zijn advertentie in de digitale inbraak.
De hackers, bekend als APT29 of "Cozy Bear", onderschepten en kopieerden die flyer, voegden er kwaadaardige software aan toe en stuurden die vervolgens naar tientallen andere buitenlandse diplomaten die in Kiev werkten, aldus Unit 42.
"Dit is onthutsend in omvang voor wat over het algemeen nauw omschreven en clandestiene geavanceerde aanhoudende bedreigingsoperaties (APT) zijn," aldus het rapport, waarin een acroniem wordt gebruikt dat vaak wordt gebruikt om cyberspionagegroepen te beschrijven die door de staat worden gesteund.
In 2021 identificeerden Amerikaanse en Britse inlichtingendiensten APT29 als een tak van de Russische buitenlandse inlichtingendienst SVR. De SVR reageerde niet op een verzoek van Reuters om commentaar over de hackcampagne.
In april waarschuwden Poolse contraspionage- en cyberbeveiligingsautoriteiten dat dezelfde groep een "wijdverspreide inlichtingencampagne" had gevoerd tegen NAVO-lidstaten, de Europese Unie en Afrika.
Onderzoekers van Unit 42 konden de nepadvertentie terugvoeren op de SVR omdat de hackers bepaalde tools en technieken hergebruikten die eerder in verband werden gebracht met de spionagedienst.
"Diplomatieke missies zullen altijd een hoogwaardig spionagedoelwit zijn," aldus het rapport van Unit 42. "Zestien maanden na de Russische invasie van Oekraïne hebben inlichtingen rond Oekraïne en geallieerde diplomatieke inspanningen vrijwel zeker een hoge prioriteit voor de Russische regering".
GEBRUIKTE BMW
De Poolse diplomaat zei dat hij de originele advertentie naar verschillende ambassades in Kiev had gestuurd en dat iemand hem had teruggebeld omdat de prijs er "aantrekkelijk" uitzag.
"Toen ik het controleerde, realiseerde ik me dat ze het over een iets lagere prijs hadden," vertelde de diplomaat aan Reuters.
Het bleek dat SVR-hackers de BMW van de diplomaat voor een lagere prijs - 7.500 euro - in hun nepversie van de advertentie hadden gezet, in een poging om meer mensen aan te moedigen om kwaadaardige software te downloaden waarmee ze op afstand toegang tot hun apparaten konden krijgen.
Die software, zei Unit 42, was vermomd als een album met foto's van de gebruikte BMW. Pogingen om die foto's te openen zouden de machine van het doelwit hebben geïnfecteerd, aldus het rapport.
Eenentwintig van de 22 ambassades die het doelwit waren van de hackers en waarmee Reuters vervolgens contact opnam, gaven geen commentaar. Het was niet duidelijk welke ambassades, als er al ambassades waren, gecompromitteerd waren.
Een woordvoerder van het Amerikaanse Ministerie van Buitenlandse Zaken zei dat ze "op de hoogte waren van de activiteit en op basis van de analyse van het Directoraat Cyber- en Technologiebeveiliging vaststelden dat het geen invloed had op de systemen of accounts van het ministerie".
De auto was nog steeds beschikbaar, vertelde de Poolse diplomaat aan Reuters:
"Ik zal proberen om het in Polen te verkopen, waarschijnlijk," zei hij. "Na deze situatie wil ik niet nog meer problemen hebben". (Verslaggeving door James Pearson; Redactie door Conor Humphries)
