Die weit verbreiteten Spionageaktivitäten zielten auf Diplomaten ab, die in mindestens 22 der rund 80 ausländischen Vertretungen in der ukrainischen Hauptstadt Kiew arbeiten, so die Analysten der Forschungsabteilung Unit 42 von Palo Alto Networks in ihrem Bericht.
Die Spionageaktion begann mit einer legitimen Anzeige für eine gebrauchte BMW 5er Limousine der Generation F10 aus dem Jahr 2011, die von einem polnischen Diplomaten per E-Mail verbreitet wurde. Hacker der russischen APT29-Einheit - mit dem Spitznamen Cozy Bear - wurden aufmerksam und betteten Schadsoftware in das arglose Flugblatt ein, bevor es die Diplomaten erreichte.
Reuters berichtet, dass der Verkäufer einige Anrufe wegen des Fahrzeugs erhielt, bis er feststellte, dass die Preisvorstellung auf dem Flugblatt ohne sein Wissen auf 7,5 000 Euro (8,3 000 Euro) reduziert worden war. Es stellte sich heraus, dass diese Preissenkung von russischen Hackern vorgenommen wurde, um mehr Diplomaten zum Anklicken der Anzeige zu verleiten. Die Schadsoftware war in eine Fotogalerie des Gebrauchtwagens integriert und infizierte den PC eines jeden, der den Link anklickte.
Die ATP29-Einheit wurde von den amerikanischen und britischen Behörden als Teil des russischen Auslandsgeheimdienstes identifiziert. Dieselbe Gruppe hat vor kurzem eine Kampagne gegen die NATO, die EU und Afrika durchgeführt und dabei ähnliche digitale Werkzeuge und Techniken eingesetzt, die schließlich ihre Identität verrieten.
Der Verkäufer, der im polnischen Außenministerium arbeitet, gab seine Identität nicht preis, bestätigte aber, dass das Fahrzeug noch verfügbar ist. Die 12 Jahre alte Premium-Limousine hat 266.000 km auf dem Tacho und ist mit einem 2,0-Liter-Dieselmotor und einem Schaltgetriebe ausgestattet. Nach all dem Schlamassel beabsichtigt der Besitzer nun, das Auto in Polen zu verkaufen, damit er jedes zusätzliche Drama vermeiden kann.