Hakerska skupina prethodno povezana s ruskim obavještajnim službama proteklih je mjeseci ciljala europske diplomate s pozivnicama na lažne degustacije vina iz europskog ministarstva vanjskih poslova.
Tvrtka za kibernetičku sigurnost Check Point rekla je da je grupa povezana s Rusijom poznata kao Cozy Bear ciljala europske diplomatske entitete e-poštom s naslovom kao što je "Događaj za testiranje vina" i "Diplomatska večera". E-poruke su sadržavale zlonamjerni softver za ugrožavanje sigurnosti žrtava.
Hakeri koji stoje iza nove kampanje predstavljali su se kao "veliko" europsko ministarstvo vanjskih poslova, šaljući lažne pozivnice metama, posebice ministarstvima vanjskih poslova, kao i veleposlanstvima zemalja izvan EU-a koja se nalaze u Europi.
Umjesto da budu usmjereni na puno crveno ili oštro bijelo, diplomati koji bi otvorili privitak u e-porukama nenamjerno bi preuzeli zlonamjerni softver.
Check Point prati kampanju od siječnja. Sergey Shykevich, istraživač u tvrtkama, odbio je reći koje su ministarstvo vanjskih poslova hakeri lažirali, rekavši samo da je to "jedno od najvećih" u Europskoj uniji.
Komentirajući izbor vina kao mamca, Shykevich je rekao: "Netko je na strani napadača imao je dobru ideju." Shykevich je dodao da Check Point nije utvrdio jesu li pokušaji hakiranja bili uspješni. Tvrtka je u svom istraživanju rekla da je pronašla naznake da su mete bili i diplomati na Bliskom istoku.
Dvojica europskih diplomata rekli su za POLITICO da redovito dobivaju upozorenja o pokušajima krađe identiteta, ali nisu primili upozorenja o ovoj specifičnoj kampanji. Napad je ažurirana verzija slične kampanje koju je Google prethodno identificirao.
Zapadne sigurnosne službe već su povezivale Cozy Bear, poznat i kao APT29 i Midnight Blizzard, s ruskom vanjskom obavještajnom službom SVR.
Skupina djeluje barem od ranih 2010-ih, a poznata je po sofisticiranim cyber špijunskim kampanjama, posebno usmjerenima na vladine agencije, think-tankove, diplomatske misije i međunarodne organizacije, uglavnom u zapadnim zemljama.
Cozy Bear i još jedna ruska skupina, Fancy Bear (APT28), upali su u sustave Demokratskog nacionalnog odbora (DNC). Cozy Bear je navodno bio prvi koji je upao i bavio se tihim nadzorom i krađom podataka. Fancy Bear je kasnije izvršio upad s više "glasnim" aktivnostima poput curenja podataka. Taj napad je povezan s utjecanjem na predsjedničke izbore u SAD-u 2016. godine.
Cozy Bear je kompromitirao američku softversku kompaniju SolarWinds, čiji se softver koristi za IT nadzor. Taj je napad opisano kao najveći ikada. U ažuriranje softvera ubačen je zlonamjerni kod (supply chain attack). Pogođene su brojne američke vladine agencije (State Department, Treasury, Department of Homeland Security) i mnoge privatne tvrtke. Napad je ostao neotkriven mjesecima, što je omogućilo dubok pristup sustavima.
Cozy Bear je, prema zapadnim obavještajnim službama, 2020.godine pokušavao ukrasti informacije o razvoju cjepiva za COVID-19.Meta su bile istraživačke ustanove u SAD-u, Kanadi i Ujedinjenom Kraljevstvu. Hakerska skupina stoji i iza dugogodišnje aktivnosti protiv europskih diplomacija, uključujući Norvešku, Nizozemsku, Njemačku, Češku... Napadi su često uključivali spear phishing (ciljane e-mail prevare) i instalaciju backdoora (tzv. malware Dukes serije).
Microsoft je 2023. i 2024. u više navrata upozorio da Cozy Bear pokušava kompromitirati korporativne e-mail sustave, uključujući i njihove vlastite. U veljači 2024. Microsoft je izvijestio da su Cozy Bear hakeri kompromitirali neke njihove zaposlenike, s ciljem krađe internih informacija o sigurnosnim procedurama.
