Majdnem naponta érkeznek üzenetek a telefonomra különböző hackerektől, akik különböző szándékokkal keresnek meg. Az évek során, amióta kiberbiztonságról tudósítok, megtanultam, hogy sokan közülük szeretnek beszélni a feltöréseikről, felfedezéseikről és kalandjaikról. Ezeknek az üzeneteknek körülbelül 99%-a sohasem vezet hírhez, viszont nemrég egy üzenet olyan érdekesnek bizonyult, hogy nem lehetett figyelmen kívül hagyni. „Szia! Joe Tidy vagyok a BBC-től, a Co-op híreivel kapcsolatban kereslek, ugye?” – érkezett az üzenet a Telegramon. „Van egy hírünk számodra” – írták, mikor óvatosan érdeklődtem, hogy miről van szó. Az üzenetküldő, akinek neve és profilképe nem volt, belső információkat osztott meg a M&S és a Co-op ellen végrehajtott kibertámadásokról, amelyek jelentős zűrzavart okoztak.
Az ezt követő öt órás üzenetváltás során világossá vált, hogy ezek a hackerek folyékonyan beszélnek angolul, és bár azt állították, hogy csupán közvetítők, egyértelműen szoros kapcsolatban álltak a M&S és a Co-op hackjeivel. Olyan bizonyítékokat osztottak meg velem, amelyek igazolták, hogy hatalmas mennyiségű ügyfél- és alkalmazotti információt loptak el. Ellenőriztem az általuk küldött adatok egy részletét, majd biztonságosan töröltem azokat. Frusztráltnak tűntek, amiért a Co-op nem engedett a váltságdíj követeléseiknek, de nem árulták el, mennyi Bitcoinra lenne szükségük a kereskedőtől cserébe, hogy ne adják el vagy ne osszák meg az ellopott adatokat.
A BBC Szerkesztőségi Politikai csapatával folytatott beszélgetés után úgy döntöttünk, hogy a közérdek érdekében be kell számolnunk arról, hogy bizonyítékokat kaptunk a hackerek részéről, amelyek szerint ők felelősek a támadásért. Gyorsan felvettem a kapcsolatot a Co-op sajtócsapatával, és néhány percen belül a vállalat, amely kezdetben lekezelte a támadást, elismerte az alkalmazottak, az ügyfelek és a tőzsde felé, hogy jelentős adatvédelmi incidens történt. Később a hackerek egy hosszú, dühös és sértő levelet küldtek nekem a Co-op válaszáról és a követeléseikről, amelyből kiderült, hogy a kereskedő egy súlyosabb hackertámadást került el azzal, hogy beavatkozott a számítógépes rendszerei feltörését követő káosz perceiben.
A levél és a hackerekkel folytatott beszélgetés megerősítette, amit a kiberbiztonsági szakértők már régóta hangoztatnak a kiskereskedőket célzó támadások hulláma óta – a hackerek egy DragonForce nevű kiberbűnöző szolgáltatás tagjai. De kik is azok a DragonForce? A hackerekkel folytatott beszélgetések és szélesebb körű ismereteink alapján van néhány nyomunk. A DragonForce különböző szolgáltatásokat kínál kiberbűnöző partnereknek a darknet oldalán, cserébe az összegyűjtött váltságdíjak 20%-ának elosztásáért. Bárki regisztrálhat, és használhatja a rosszindulatú szoftvereiket, hogy összezavarja egy áldozat adatait, vagy használhatja a darknet weboldalukat nyilvános zsarolásra. Ez az úgynevezett ransomware-as-a-service, amely a szervezett kiberbűnözés normájává vált.
A közelmúltban a DragonForce átalakította magát egy kartellé, amely még több lehetőséget kínál a hackerek számára, például 24/7 ügyfélszolgálatot. A csoport már 2024 eleje óta hirdette szélesebb kínálatát, és 2023 óta aktívan célba veszi a szervezeteket. A kiberbiztonsági szakértők, például Hannah Baumgaertner, a Silobreaker kutatási vezetője szerint a DragonForce legújabb modellje olyan funkciókat tartalmaz, mint adminisztrációs és kliens panelek, titkosítás és váltságdíj-tárgyalási eszközök. A DragonForce módszere az áldozatai nyilvános megjelenítése; eddig 168 alkalommal tette ezt 2024 december óta.
A DragonForce eddig csendben maradt a kiskereskedelmi támadásokkal kapcsolatban, ami általában azt jelzi, hogy az áldozat szervezet megfizette a hackereket, hogy hallgassanak. Mivel sem a DragonForce, sem a Co-op, sem a M&S nem kommentálta ezt a kérdést, nem tudhatjuk, mi zajlik a színfalak mögött. A DragonForce mögött álló személyek azonosítása nehéz, és nem ismert, hol találhatók. Amikor a Telegram fiókjuktól ezt kérdeztem, nem kaptam választ. A hackerek nem árulták el, hogy ők állnak-e a M&S és Harrods legutóbbi hackjei mögött, de megerősítették egy Bloomberg jelentését, amely ezt egyértelműen kifejtette. Mivel bűnözőkről van szó, elképzelhető, hogy hazudnak.
Egyes kutatók azt állítják, hogy a DragonForce Malajziában, míg mások Oroszországban működnek, ami sok ilyen csoport valószínű székhelye. A DragonForce célja csupán a profitmaximalizálás, nincsenek konkrét célpontjaik vagy ügyeik. A M&S hack első szakaszában ismeretlen források arról tájékoztatták a Bleeping Computer kiberhíroldalt, hogy az evidenciák egy laza kiberbűnöző közösségre, a Scattered Spider néven ismert csoportosulásra mutatnak, de ezt a rendőrség még nem erősítette meg. A Scattered Spider nem egy hagyományos értelemben vett csoport, inkább egy közösség, amely olyan platformokon szerveződik, mint a Discord és a Telegram, innen a „szétszórt” elnevezés, amelyet a CrowdStrike kiberbiztonsági kutatói adtak nekik. Ismert, hogy angolul beszélnek, valószínűleg az Egyesült Királyságban és az Egyesült Államokban tevékenykednek, és fiatalok – esetenként tinédzserek.
A kiberbűnözők elleni rendőrségi intézkedések eddig nem tűnnek hatékonynak. Csütörtökön a Google kiberbiztonsági részlegének figyelmeztetése szerint Scattered Spider-szerű támadásokat kezdtek észlelni az Egyesült Államok kiskereskedői ellen is. A Telegramon folytatott beszélgetés során a hackerek nem válaszoltak arra a kérdésre, hogy ők is a Scattered Spider tagjai-e. „Erre a kérdésre nem válaszolunk” – mondták. Talán a hackerek éretlenségére és figyelemkereső természetére utalva, ketten közülük azt mondták, hogy „Raymond Reddington” és „Dembe Zuma” néven szeretnének ismertté válni, a The Blacklist című amerikai bűnügyi drámasorozat szereplői után, amelyben egy keresett bűnöző segíti a rendőrséget más bűnözők lekapcsolásában. Üzenetükben büszkén hangozt
