Szervezett akció több fronton
A Have I Been Squatted platform kutatócsoportja fedezte fel a támadássorozatot, miután rábukkant egy nyilvános adatbázisra, amelyben a Diesel Vortex által használt adatlopási projekt részletei és Telegram-csevegések is szerepeltek. Ugyanakkor sikerült kapcsolatokat találni az elkövetők és az orosz infrastruktúra, illetve örmény nyelvű telekommunikációs csatornák között. A támadás kiépített infrastruktúrában zajlott: külön adathalász-oldalak készültek a legismertebb fuvarpiacokra, flottakezelő rendszerekre, üzemanyagkártya-platformokra és áruszállítási portálokra.
Lebukott módszerek, arcátlan másolatok
A csalók módszere kidolgozott: az áldozatoknak az adathalász e-maileket Zoho SMTP és Zeptomail segítségével küldik. Vagyis a feladói- és tárgymezőkbe csempésznek cirill betűket, hogy kijátsszák az automatikus szűrőket. Hangalapú csalást is bevetnek, és bejutnak kamionosokat és logisztikusokat tömörítő Telegram-csoportokba. Akik rákattintanak, egy .com végződésű webhelyen kötnek ki, majd kilencszakaszos álcázási folyamat során terelik őket tovább. A csaló oldalak pixelpontos másolatai az eredeti szolgáltatásoknak, így a felhasználónév, jelszó, engedélyszám, RMIS-bejelentkezés, PIN-kód, 2FA-azonosító, sőt akár fizetési adatok és csekkszámok is veszélybe kerülhetnek.
Nemcsak adatlopás: áruszállítási csalások
A műveletnek volt egy önálló irányítója, aki Telegramon keresztül felügyelte a folyamatot, döntött további lépésekről, jelszó-, 2FA- és egyéb adatkérésekről vagy az áldozatok letiltásáról. Sőt, a vizsgálat során bizonyíték került elő arról, hogy az ellopott identitásokkal a csalók kettős közvetítést folytatnak. Ez azt jelenti, hogy egy álfuvarozó nevében foglalnak le árut, majd továbbadják másnak, így akár el is lophatják azt.
Összefogásban a kibervédelem
A Diesel Vortex műveletét végül egy koordinált akció törte meg: a GitLab, a Google, a Cloudflare, a CrowdStrike és a Microsoft biztonsági csoportjai közösen léptek fel. Számos orosz céghez és magánszemélyhez vezettek vissza a szálak, akik a logisztikai és raktározási területen dolgoznak; az e-mail-azonosítás alapján pedig ugyanazokat a cégeket célozták meg, amelyeket az adathalászat is.
Fontos tudni: új típusú fenyegetés
A Diesel Vortex nemcsak az adatokat lopja, hanem a csaló megbízásokkal, e-mail-fiókok feltörésével, áruk eltérítésével valós károkat is okoz. Az adathalász akciók technikai részletei, kompromittált címek és pénzügyi elérhetőségek elérhetők a Have I Been Squatted jelentésének végén. Fontos a logisztikai cégeknél a digitális védelem megerősítése – a legújabb támadáshullámok már itt kopogtatnak.
