A brit kiskereskedőket célzó kibertámadásokkal kapcsolatban aggasztó hírek érkeztek a National Cyber Security Centre (NCSC) részéről, amely figyelmeztette a vállalatokat, hogy bűnözők IT segítségnyújtó szolgáltatásoknak álcázva magukat próbálnak betörni a cégek rendszereibe. Az elmúlt két hétben a támadások célpontjaivá váltak a Marks & Spencer, a Co-op és a Harrods, és a titkos csoport pénteken nyilatkozott a BBC-nek, hogy hamarosan újabb támadások várhatóak. A NCSC, amely a brit kormány kibervédelmi ügynöksége, útmutatást adott ki a szervezeteknek, arra kérve őket, hogy vizsgálják felül IT segítségnyújtó szolgáltatásaik jelszó-visszaállítási folyamatait, ezzel csökkentve a hackerek áldozatává válás kockázatát.
A NCSC szerint a vállalatoknak újra kell gondolniuk, hogyan azonosítják az IT segítségnyújtó szolgáltatások munkatársait a jelszavak visszaállítása előtt, különösen a magas szintű hozzáféréssel rendelkező vezetők esetében. A szakemberek felhívták a figyelmet arra, hogy a hackerek szociális manipulációs technikákat alkalmazhatnak a fiókokhoz való hozzáférés megszerzésére. A bűnözők úgy keltik a látszatot, hogy a vállalat IT segítségnyújtó csapatának tagjai, amikor e-mailben, SMS-ben vagy telefonon keresnek meg alkalmazottakat, végül pedig sikerül rávenniük őket, hogy kiadják belépési jelszavaikat és biztonsági kódjaikat. Ezt a módszert a másik irányból is használják, amikor a segítségnyújtó csapat munkatársait hívják fel, és úgy tesznek, mintha egy alkalmazott lennének, aki nem tud belépni a fiókjába.
A kibervédelmi szakértők most azt javasolják, hogy a cégek több biztonsági réteget alkalmazzanak az ilyen típusú támadások kezelésére. Lisa Forte, a Red Goat kibervédelmi cég képviselője elmondta, hogy a munkavállalók által telefonon keresztül végzett jelszóváltoztatáskor kódnevek használata, mint például a „Kék Pingvin”, egy olyan lehetőség, amelyet a kibervédelmi közösség megfontol, hogy ellenőrizzék az alkalmazottak valódiságát. Az alapvető probléma továbbra is a belépési adatok biztonsága körül forog, ezért szükséges, hogy többféle lehetőség álljon rendelkezésre a hozzáférés biztosítására, hogy ne lehessen könnyen megkerülni ezeket a védelmi intézkedéseket.
A NCSC tanácsa a legélesebb jelzés, hogy a hackerek olyan taktikákat alkalmaznak, amelyek a Scattered Spider néven ismert angol nyelvű kibertámadókra jellemzőek. A név a „pók” kifejezésből származik, amelyet a pénzügyi motivációval rendelkező kibertörőkre használnak, míg a „szétszórt” arra utal, hogy ezek a bűnözők nem alkotnak koherens, szervezett bandát. Az elmúlt két évben ezek a fiatal hacker csoportok, akik gyakran tizenévesek vagy húszas éveik elején járnak, koordinált támadásokat hajtottak végre a Discord és a Telegram platformokon, hogy több tucat céget meghekkeljenek, adatokat lopjanak el, vagy zsarolják áldozataikat.
Bár a NCSC nem nevezte meg kifejezetten a Scattered Spider csoportot a legújabb támadásokkal kapcsolatban, elismerte, hogy ez a csoport ismert az ilyen típusú hackelésekről. A kibertámadók figyelmeztették a cégeket, hogy figyeljenek a „kockázatos bejelentkezésekre”, ami azt jelenti, hogy ügyeljenek arra, mikor és honnan jelentkeznek be az alkalmazottak – például késő este vagy szokatlan helyszínekről. Bár a kibertörők bárhonnan a világ bármely pontjáról tevékenykedhetnek, a fiatal angolul beszélő hackerek az Egyesült Királyságban és az Egyesült Államokban különösen ügyesek a szociális manipulációs támadásokban.
A Scattered Spider hackerek felelősek voltak már számos figyelemfelkeltő támadásért, beleértve a Las Vegas-i kaszinók ellen végrehajtott koordinált támadásokat is, ahol az MGM Grand és a Caesar’s Palace gyors egymásutánban vált a hackerek áldozatává. Az Egyesült Államokban és az Egyesült Királyságban az elmúlt évben hat embert tartóztattak le, akiket a Scattered Spider csoport tagjaiként gyanúsítottak. Júliusban egy 17 éves fiút tartóztattak le Walsallban az MGM hackeléssel kapcsolatban, és hónapokkal később egy hasonló korú és helyszínű fiút fogtak el a Transport for London hackelése miatt. A rendőrség nem árulta el, hogy a gyanúsítottak azonosak-e.
A pénteki nap folyamán a hackerek, akik a legújabb támadásokért felelősek, interjút adtak a BBC-nek. A bűnözők többször tagadták, hogy ők lennének a Scattered Spider hackerek, és csak DragonForce néven hivatkoztak magukra – ez a név egy kibertámadási szolgáltatásra utal, amelyet a hackerek használnak rosszindulatú szoftverek és zsarolás céljából. A hackerek elmondták, hogy sikerült betörniük a Co-op rendszerébe, és jelentős mennyiségű ügyfél- és alkalmazotti adatot loptak el. A Marks & Spencer hackeléséről nem beszéltek, de úgy vélik, hogy DragonForce zsarolóprogramot használtak a cég IT szervereinek megbénítására. A NCSC ugyanakkor megjegyezte, hogy „van rálátásuk” a helyzetre, de még nem tudják megerősíteni, hogy a támadások összefüggnek-e. Az online rendeléseket felfüggesztették, az élelmiszertermékek hiányoznak a polcokról – a Marks & Spencer káoszának hátteréről egyre több információ lát napvilágot. A helyi önkormányzat szóvivője elmondta, hogy a támadás hatással volt az oktatási hálózatukra, és folytatják a terveik kidolgozását, hogy a iskolák nyitva maradhassanak. A kiskereskedő pedig arról számolt be, hogy a hackerek folytatólagos rosszindulatú próbálkozásai befolyásolják IT rendszereiket. Az iskola közölte, hogy szakértői csapattal dolgoznak együtt, és izolálták a problémát. A kibertámadás utáni események hátterében zajló folyamatokról egyre több részlet derül ki.
