BMW AG 
Die weitreichenden Spionageaktivitäten zielten auf Diplomaten ab, die in mindestens 22 der rund 80 ausländischen Vertretungen in der ukrainischen Hauptstadt Kiew arbeiten, so die Analysten der Forschungsabteilung Unit 42 von Palo Alto Networks in dem Bericht, der später am Mittwoch veröffentlicht werden soll.
"Die Kampagne begann mit einem harmlosen und legitimen Ereignis", heißt es in dem Bericht. "Mitte April 2023 verschickte ein Diplomat des polnischen Außenministeriums ein legitimes Flugblatt an verschiedene Botschaften, in dem er den Verkauf einer gebrauchten BMW 5er Limousine in Kiew anpries.
Der polnische Diplomat, der es aus Sicherheitsgründen ablehnte, identifiziert zu werden, bestätigte die Rolle seiner Anzeige bei dem digitalen Eindringen.
Die Hacker, die als APT29 oder "Cozy Bear" bekannt sind, fingen den Flyer ab, kopierten ihn, versahen ihn mit Schadsoftware und schickten ihn dann an Dutzende anderer ausländischer Diplomaten, die in Kiew arbeiten, so Unit 42.
"Dies ist ein erstaunliches Ausmaß für Operationen, bei denen es sich in der Regel um eng begrenzte und geheime Advanced Persistent Threats (APT) handelt", heißt es in dem Bericht, der ein Akronym verwendet, das häufig zur Beschreibung von staatlich unterstützten Cyberspionage-Gruppen verwendet wird.
Im Jahr 2021 identifizierten die US-amerikanischen und britischen Geheimdienste APT29 als einen Arm des russischen Auslandsgeheimdienstes SVR. Der SVR hat auf eine Anfrage von Reuters nach einem Kommentar zu der Hacking-Kampagne nicht reagiert.
Im April warnten die polnischen Behörden für Spionageabwehr und Cybersicherheit, dass dieselbe Gruppe eine "breit angelegte Geheimdienstkampagne" gegen NATO-Mitgliedsstaaten, die Europäische Union und Afrika durchgeführt habe.
Die Forscher von Unit 42 konnten die gefälschte Autowerbung mit dem SVR in Verbindung bringen, weil die Hacker bestimmte Tools und Techniken wiederverwendet haben, die zuvor mit der Spionagebehörde in Verbindung gebracht worden waren.
"Diplomatische Vertretungen werden immer ein hochwertiges Spionageziel sein", heißt es in dem Bericht von Unit 42. "Sechzehn Monate nach der russischen Invasion in der Ukraine haben nachrichtendienstliche Informationen über die Ukraine und die diplomatischen Bemühungen der Verbündeten für die russische Regierung mit Sicherheit eine hohe Priorität".
GEBRAUCHTER BMW
Der polnische Diplomat sagte, er habe die ursprüngliche Anzeige an verschiedene Botschaften in Kiew geschickt und jemand habe ihn zurückgerufen, weil der Preis "attraktiv" erschien.
"Als ich nachschaute, stellte ich fest, dass sie von einem etwas niedrigeren Preis sprachen", sagte der Diplomat gegenüber Reuters.
Wie sich herausstellte, hatten die SVR-Hacker den BMW des Diplomaten in ihrer gefälschten Version der Anzeige zu einem niedrigeren Preis - 7.500 Euro - angeboten, um mehr Menschen zum Herunterladen von Schadsoftware zu bewegen, die ihnen Fernzugriff auf ihre Geräte ermöglicht.
Diese Software, so Unit 42, war als ein Album mit Fotos des gebrauchten BMW getarnt. Der Versuch, diese Fotos zu öffnen, hätte den Rechner der Zielperson infiziert, so der Bericht.
Einundzwanzig der 22 Botschaften, die von den Hackern ins Visier genommen und anschließend von Reuters kontaktiert wurden, gaben keinen Kommentar ab. Es war nicht klar, welche Botschaften, wenn überhaupt, kompromittiert worden waren.
Ein Sprecher des US-Außenministeriums sagte, man sei sich "der Aktivitäten bewusst und die Analyse der Direktion für Cyber- und Technologiesicherheit hat ergeben, dass die Systeme oder Konten des Ministeriums nicht betroffen sind".
Das Auto sei immer noch verfügbar, sagte der polnische Diplomat gegenüber Reuters:
"Ich werde wahrscheinlich versuchen, es in Polen zu verkaufen", sagte er. "Nach dieser Situation möchte ich nicht noch mehr Probleme haben". (Bericht von James Pearson; Bearbeitung durch Conor Humphries)
