Unit 42, de onderzoeksgroep van Palo Alto Networks, publiceert een onderzoek over een campagne van de Russische Foreign Intelligence Service (SVR) gericht op diplomatieke missies in Oekraïne. Deze groep wordt door Unit 42 aangeduid als Cloaked Ursa (ook bekend als APT29).
De groep maakt gebruik van iets dat alle onlangs geplaatste diplomaten nodig hebben – een voertuig. De nieuwe campagne die Unit 42 onderzocht, maakte gebruik van een flyer voor de legitieme verkoop van een BMW aan diplomaten in Kiev (Oekraïne) als startpunt. De groep hergebruikte deze legitieme flyer, bewerkte de prijs om de te koop aangeboden auto goedkoper te maken en voegde schadelijke links toe om een schadelijke payload te downloaden met als doel spionage.
Unit 42 observeerde dat Cloaked Ursa tijdens deze campagne minstens 22 van de meer dan 80 buitenlandse missies/landen in Kiev als doelwit had. Het werkelijke aantal is waarschijnlijk hoger.
Dit is verbijsterend in omvang voor wat normaal gesproken nauw afgebakende en clandestiene advanced persistent threat (APT) operaties zijn.
Wanneer de gebruiker op een link klikt om extra foto’s te bekijken van de te koop aangeboden BMW, worden ze door een verkorte URL service omgeleid naar een legitieme site die is overgenomen door Cloaked Ursa en wordt een schadelijke payload gedownload.
