1600 украденных аккаунтов: хакеры получили полный доступ к грузовым биржам Европы и США

Среди пострадавших – крупнейшие игроки рынка: Penske Logistics, Girteka, DAT и Truckstop

Хакерская группировка Diesel Vortex похитила более 1600 учетных данных у операторов грузоперевозок в США и Европе, сообщают издания WM Tech и The Record.

Группировка Diesel Vortex, действующая с сентября 2025 года, скомпрометировала 1649 уникальных учетных записей на ключевых отраслевых платформах. Злоумышленники использовали похищенные данные для перехвата грузов и мошенничества с чеками.

Специалисты платформы мониторинга тайпсквоттинга Have I Been Squatted обнаружили утечку данных самой группировки. Исследователи нашли открытый репозиторий, содержавший SQL-базу данных фишингового проекта. Злоумышленники называли его Global Profit и планировали продавать как услугу под брендом MC Profit Always. В репозитории также находился файл с логами Telegram-бота, которые раскрыли переписку операторов сервиса.

Анализ показал, что Diesel Vortex создал специализированную фишинговую инфраструктуру для атак на пользователей платформ, критически важных для работы отрасли. В списке целей оказались грузовые биржи, порталы управления автопарками и системы топливных карт. Среди жертв группировки исследователи называют DAT (LR. одна из старейших и крупнейших досок грузов в США), Truckstop (LR. платформа для управления грузовыми перевозками), TIMOCOM (LR. онлайн-платформа для логистики и грузоперевозок, сервис работает по принципу маркетплейса, соединяя транспортные компании с заказчиками и грузоотправителям), Teleroute (LR. общеевропейская биржа грузовых перевозок), Penske Logistics, Girteka и Electronic Funds Source (LR. топливные карты EFS предназначены для управления покупками топлива и связанными расходами флотов).

Атаки включали несколько векторов. Злоумышленники использовали фишинговые письма, рассылку через почтовые сервисы Zoho SMTP и Zeptomail, а также применяли подмену символов кириллицей в полях отправителя и темы для обхода фильтров. Кроме того, операторы внедрялись в Telegram-каналы, популярные среди водителей и логистов, и применяли методы голосового фишинга.

Исследователи обнаружили в утекших данных ментальную карту (mind map) организации. Документ описывал структуру Diesel Vortex как «высокоорганизованную операцию» с собственным колл-центром, службой почтовой поддержки, программистами и сотрудниками, отвечавшими за поиск водителей, перевозчиков и контактов в логистике. Карта также содержала информацию о каналах привлечения жертв, включая маркетплейс DAT One, и доходах на различных этапах мошеннической схемы.

Технически атака строилась на двухуровневой инфраструктуре. Жертва переходила по ссылке на минималистичную HTML-страницу на домене в зоне .com, которая загружала фишинговый контент через полноэкранный iframe. Сами фишинговые страницы, размещенные на системных доменах в зонах .top и .icu, проходили через девятиэтапный процесс скрытия от средств защиты. Эти страницы представляли собой пиксельные копии легитимных логистических платформ. В зависимости от цели, операторы собирали не только пароли, но и данные разрешений (permits), номера MC/DOT, PIN-коды к системам RMIS, одноразовые коды двухфакторной аутентификации, платежные реквизиты и номера чеков.

Управление процессом фишинга осуществлялось через Telegram-ботов. Оператор в реальном времени решал, запросить ли у жертвы дополнительный пароль от Google, Microsoft 365 или Yahoo, подтвердить двухфакторную аутентификацию, перенаправить пользователя или заблокировать его сессию.

К расследованию подключилась компания Ctrl-Alt-Intel, специализирующаяся на OSINT-аналитике. На основе собранных доказательств исследователи сделали вывод, что Diesel Vortex не просто крала учетные данные, но и координировала операции по захвату грузов. В их арсенал входили подмена личности перевозчика (freight impersonation), компрометация корпоративной почты, а также механизм двойного брокеража или double-brokering. Последний подразумевает использование украденных данных легитимного перевозчика для бронирования груза с последующей его переадресацией на мошеннические пункты вывоза и хищением.

Напомним, в 2025 году специалисты компании «Кибериспытание» (входит в фонд «Сайберус», созданный сооснователем Positive Technologies) провели проверку безопасности 74 российских организаций и выявили, что две из трех компаний (67%) уязвимы к взлому менее чем за сутки, причем в 60% случаев возможно совершение инцидента, способного парализовать работу бизнеса. Рекордное время взлома составило всего 34 минуты. LR

Источник