Fiatal amerikai és brit hackerek állhatnak a kiskereskedői támadások mögött

Az Egyesült Királyság kiskereskedelmi szektorát sújtó kibertámadások következményei már hetek óta érezhetők. Az üres polcok, a törölt online megrendelések és a milliónyi ügyfél adatainak eltulajdonítása mind-mind azt jelzi, hogy komoly problémával állunk szemben. Azonban eddig nem volt világos, hogy kik állnak a támadások mögött, mivel a cégek és a hatóságok is csak korlátozott információkat adtak közre. Most azonban, az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA) első ízben adott interjút, melyben megnevezte a Scattered Spider nevű hírhedt kibercsapatot, mint a nyomozás kulcsszereplőit.

A Scattered Spider csoport figyelemfelkeltő, hiszen tagjai között fiatalok is találhatók, köztük tinédzserek. Ezen kívül, ellentétben a legtöbb hírhedt kibertámadóval, akik gyakran Oroszországból vagy Észak-Koreából származnak, a Scattered Spider tagjai angol anyanyelvűek. Bár eddig már felmerült a gyanú, hogy részt vehettek az Egyesült Királyság kiskereskedelmi hackeléseiben, ez az első alkalom, hogy a rendőrség megerősítette, hogy ezt a lehetőséget aktívan vizsgálják. Paul Foster, az NCA kiberbűnözési egységének vezetője a BBC új dokumentumfilmjében elmondta: „A Scattered Spider néven ismert csoporttal foglalkozunk, de számos különböző hipotézist vizsgálunk, és a bizonyítékok alapján fogunk eljutni a bűnösökhöz.” Hozzátette, hogy a támadások által okozott károk fényében a tettesek kézre kerítése a legfontosabb prioritásuk.

A támadások során a DragonForce platformot használták, amely lehetővé teszi a bűnözők számára, hogy ransomware támadásokat hajtsanak végre. Azonban a mögöttük álló hackerek kiléte még nem ismert, és eddig nem történt letartóztatás. Néhány kiberbiztonsági szakértő szerint a támadók viselkedése a Scattered Spider csoport jellemzőit mutatja, amely egy laza közösségből áll, gyakran fiatal tagokkal, akik a Discord, Telegram és különböző fórumok segítségével szerveződnek, valószínűleg az Egyesült Királyságban és az Egyesült Államokban.

Bár az NCA a kibertámadások ökoszisztémájának minden részét vizsgálja, ők is hasonló irányba tapogatóznak. „Tudjuk, hogy a Scattered Spider nagyrészt angolul beszél, de ez nem feltétlenül jelenti azt, hogy az Egyesült Királyságban vannak. Tudjuk, hogy különböző platformokon és csatornákon kommunikálnak egymással, ami kulcsfontosságú a csoport működéséhez” – mondta Foster. A Marks & Spencer, a brit kiskereskedelmi óriás, ransomware-támadást szenvedett el, amely következtében a cég szerverei megbénultak, és a számítógépes rendszerek használhatatlanná váltak. A cég továbbra is küzd a polcok feltöltésével, és hetek óta felfüggesztette az online vásárlási lehetőséget. A Co-opnál a munkatársak leállították a rendszereket, hogy megakadályozzák a ransomware-fertőzést, de így is nagy mennyiségű ügyfél- és munkatársi adatot loptak el, amelyet most váltságdíjért követelnek. A cég szupermarketjei és temetkezési szolgáltatásai súlyosan érintettek a támadások következtében.

A Harrods esetében nem tudni, mi zajlik, de a cég elismerte, hogy számítógépes rendszereket kellett offline állítaniuk egy kiber támadás kísérlete miatt. Amikor a M&S és a Co-op támadásainak mögött álló hackerek névtelenül felvették a kapcsolatot a BBC-vel, nem árulták el, hogy ők lennének a Scattered Spider tagjai. A CrowdStrike kiberbiztonsági kutatói a csoport sporadikus természetére utalva adtak nekik nevet, de más kiberbiztonsági cégek is adtak nekik gúnyneveket, mint például az Octo Tempest és a Muddled Libra.

A Scattered Spider csoporthoz több magas szintű támadást is kapcsoltak, köztük két amerikai kaszinót 2023-ban és a Londoni Közlekedési Hatóságot tavaly. Novemberben az Egyesült Államok öt brit és amerikai férfit és fiút vádolt meg a Scattered Spider tevékenységeivel. Az egyikük Tyler Buchanan, egy 23 éves skót férfi, aki eddig nem tett vallomást, a többiek pedig az Egyesült Államokban élnek. Az NCA nyomozói nem árulták el, hogyan sikerült a kiskereskedelmi hackereknek behatolniuk az áldozatok szervezeteibe, de a Nemzeti Kiberbiztonsági Központ nemrégiben útmutatót adott ki a szervezeteknek, amelyben arra kéri őket, hogy vizsgálják felül IT segítségnyújtó szolgáltatásaik jelszó-visszaállítási folyamatait. A kiberbiztonsági cég, a Red Goat szakértője, Lisa Forte elmondta, hogy a Scattered Spider láthatóan kedveli az IT segítségnyújtó központok felhívását, és szociális manipulációs technikákat használnak arra, hogy valakit rávegyenek arra, hogy kattintson egy linkre, vagy állítsa vissza valakinek a fiókját egy olyan jelszóra, amelyet ők használni tudnak.

A BBC dokumentumfilmjében egy korábbi tinédzser hacker, aki kilenc évvel ezelőtt lett letartóztatva és most kiberbiztonsági területen dolgozik, elmondta, hogy nem meglepő számára, hogy tinédzserek állhatnak a támadások mögött. „Nem lepne meg, sőt, éppen ellenkezőleg. Az eszközök könnyen hozzáférhetőek, és nagyon egyszerű online keresni. Az ember egy kicsit érinthetetlennek érezheti magát, de miért? 99%-ban letartóztatják” – tette hozzá. A támadás után a M&S weboldala újra elérhetővé vált, de az online megrendelések továbbra is felfüggesztve vannak. Az Egyesült Államokból érkező lánc jelentős csökkenést tapasztalt az eladásokban, amit „nagyon kihívásokkal teli környezetnek” tulajdonítanak.

Forrás: https://www.bbc.com/news/articles/ckgnndrgxv3o