Российские хакеры разработали новую схему обхода двухфакторной аутентификации (2FA) в сервисах Google, в частности Gmail, используя сложные методы социальной инженерии. Известно, что жертвами атак стали ученые и критики России, а в фишинговых кампаниях упоминались темы, связанные с Украиной и Государственным департаментом США.
Об этом сообщает ProIT
Схемы фишинга и социальной инженерии
С апреля по начало июня хакеры рассылали тщательно подготовленные электронные письма, выдавая себя за сотрудников Госдепа США. Сообщения содержали просьбы создать пароли для приложений и поделиться этими данными. Получив пароли, злоумышленники получали прямой доступ к учетным записям Google, что фактически позволяло обойти 2FA, поскольку сам пользователь открывал доступ к своему аккаунту сторонним приложениям.
Исследователи из Google Threat Intelligence Group (GTIG) установили, что за атакой стоит киберпреступник под псевдонимом UNC6293, которого связывают с группой APT29. Эта структура существует как минимум с 2008 года, ее также знают под названиями NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard. Основными целями остаются государственные учреждения, исследовательские центры и think tank’и по всему миру.
Реальные примеры атак и упоминание Украины
Группа The Citizen Lab исследовала атаку на эксперта по информационным операциям Кира Джайлза. Хакеры отправили ему письмо якобы от Клодии С. Вебер, представительницы Госдепа США, с предложением присоединиться к частной онлайн-встрече. Для создания официального вида в копиях письма были адреса с доменом @state.gov, хотя никакой Клодии С. Вебер в Госдепе не существует.
«Мы считаем, злоумышленник знает, что почтовый сервер Государственного департамента, очевидно, настроен на прием всех сообщений и не отправляет уведомления об отказе, даже если адрес не существует», — говорят в The Citizen Lab
После нескольких писем, когда Джайлз заинтересовался, ему предложили присоединиться к платформе «MS DoS Guest Tenant», которая, по словам злоумышленников, позволяет удобно участвовать в будущих встречах. Далее эксперту отправили PDF-инструкцию по созданию пароля для приложения с доступом к Google-аккаунту. Этот код нужно было передать «администраторам DoS в США», якобы для регистрации гостевого пользователя на платформе O365. Таким образом, жертва считала, что выполняет безопасные инструкции, а на самом деле открывала злоумышленнику полный доступ к своему аккаунту Google.
По данным GTIG, в период с апреля по июнь были зафиксированы две подобные кампании: одна касалась Госдепа США, другая содержала приманки, связанные с Украиной и Microsoft. Для маскировки активности использовались резидентные прокси и виртуальные частные серверы, что обеспечивало анонимность киберпреступников.
Все эти кампании социальной инженерии отличались высокой мастерством, использованием фейковых личностей, поддельных аккаунтов и других способов создания иллюзии легитимности. Чтобы минимизировать риски, в Google советуют подключать Программу расширенной защиты, которая усиливает безопасность учетной записи и блокирует возможность создания паролей для сторонних приложений.