Російські хакери розробили нову схему обходу двофакторної аутентифікації (2FA) у сервісах Google, зокрема Gmail, використовуючи складні методи соціальної інженерії. Відомо, що жертвами атак стали науковці та критики росії, а у фішингових кампаніях згадувалися теми, пов’язані з Україною та Державним департаментом США.
Про це розповідає ProIT
Схеми фішингу та соціальної інженерії
З квітня до початку червня хакери розсилали ретельно підготовлені електронні листи, видаючи себе за співробітників Держдепу США. Повідомлення містили прохання створити паролі для застосунків і поділитися цими даними. Отримавши паролі, зловмисники отримували прямий доступ до облікових записів Google, що фактично дозволяло обійти 2FA, оскільки сам користувач відкривав доступ до свого акаунта стороннім додаткам.
Дослідники з Google Threat Intelligence Group (GTIG) встановили, що за атакою стоїть кіберзлочинець під псевдонімом UNC6293, якого пов’язують із групою APT29. Ця структура існує щонайменше з 2008 року, її також знають під назвами NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard. Основними цілями залишаються урядові установи, дослідницькі центри та think tank-и по всьому світу.
Реальні приклади атак та згадка України
Група The Citizen Lab дослідила атаку на експерта з інформаційних операцій Кіра Джайлза. Хакери надіслали йому лист нібито від Клоді С. Вебер, представниці Держдепу США, з пропозицією приєднатися до приватної онлайн-зустрічі. Для створення офіційного вигляду у копіях листа були адреси з доменом @state.gov, хоча жодної Клоді С. Вебер у Держдепі не існує.
«Ми вважаємо, зловмисник знає, що поштовий сервер Державного департаменту, вочевидь, налаштований на приймання усіх повідомлень і не надсилає сповіщення про відмову, навіть якщо адреса не існує», — кажуть у The Citizen Lab
Після кількох листів, коли Джайлз зацікавився, йому запропонували приєднатися до платформи «MS DoS Guest Tenant», яка, за словами зловмисників, дозволяє зручно брати участь у майбутніх зустрічах. Далі експерту надіслали PDF-інструкцію зі створення пароля для застосунку з доступом до Google-акаунта. Цей код потрібно було передати «адміністраторам DoS у США», нібито для реєстрації гостьового користувача на платформі O365. Таким чином, жертва вважала, що виконує безпечні інструкції, а насправді відкривала зловмиснику повний доступ до свого акаунта Google.
За даними GTIG, протягом квітня-червня були зафіксовані дві подібні кампанії: одна стосувалася Держдепу США, інша містила приманки, пов’язані з Україною та Microsoft. Для маскування активності використовувалися резидентні проксі та віртуальні приватні сервери, що забезпечувало анонімність кіберзлочинців.
Всі ці кампанії соціальної інженерії вирізнялися високою майстерністю, використанням фейкових особистостей, підроблених акаунтів та інших способів створення ілюзії легітимності. Щоб мінімізувати ризики, у Google радять підключати Програму розширеного захисту, яка посилює безпеку облікового запису та блокує можливість створення паролів для сторонніх застосунків.