Служба поддержки по цифровой безопасности Access Now выявила две фишинговые кампании, направленные против представителей гражданского общества из Восточной Европы и международных неправительственных организаций, работающих в регионе.
Soumil Kumar / pexels
Служба поддержки поцифровой безопасности Access Now выявила две фишинговые кампании,направленные против представителей гражданского общества из Восточной Европы и международных неправительственных организаций,работающих в регионе. Соответствующий отчет опубликован насайте службы.
Жертвами атаксостороны прокремлевских хакерских группировок стали более 10 российских НКО инезависимых СМИ,сообщили The Moscow Times вAccess Now.Вчисле пострадавших— издание «Проект»,бывший посол США вУкраине Стивен Пфайфер иправозащитная организация «Первый отдел»,которая помогает фигурантам уголовных дел огосизмене,шпионаже,экстремизме,атакже борется заобеспечение свободы доступа кинформации изгосударственных архивов.
Фишинговые кампании проводились впериод соктября 2022 года поавгуст 2024 года. Способы атак,профили жертв идругие технические свидетельства указывают нато,чтозлоумышленники являются хакерами изблизких кКремлю группировок.
Специалисты лаборатории The Citizen Lab при университете Торонто подтвердили,что атаки впериод сапреля поиюнь 2024 года осуществляла связанная сФСБ группировка Cold River,также известная какStar Blizzard или Callisto. Еще одна операция,которая проводилась соктября 2022 года поавгуст 2024 года,была делом рук других хакеров изнеизвестного объединения,которому дали названиеCold Wastrel. Скакой российской спецслужбой оно связано,расследователи выяснить несмогли.
Cold Wastrel использовала почтовые адреса сервиса Proton Mail: таким образом хакеры пытались выдать себя заорганизации или отдельных лиц,которые были знакомы жертвам. Access Now впервые получила сигнал обэтих атаках вмарте 2023года. Злоумышленникирассылали электронные письма различным международнымНПО. Почтовые сообщения были замаскированы таким образом,будтобы ихотправили сучетной записи,хорошо известной целевым группам. Вчастности,вадресе отправителя был изменен только один символ,например,«s» на«c»,чтобы разница была почти незаметной.
Вряде случаев электронное письмо имитировало рассылаемое Google Drive автоматическое уведомление отом,что для пользователя открыт документ,созданный наэтом сервисе. Другиеписьма содержали заблокированные вложения вформате PDF иссылку,которую предлагалось нажать,чтобы получить доступ ксодержимому. При переходе поней открывалась поддельная страница входа вProton Mail или Gmail,через которую злоумышленники собирали пароли икоды для двухфакторной аутентификации,либостраница загрузки вредоносного программного обеспечения.
Для последующих атак в2023 году использовалась другая тактика. Злоумышленники создали почтовый сервер споддельными доменами,чтобы выдать себя заорганизацию изсписка реальных партнеров жертв. Этот метод сочетался сиспользованием знакомых псевдонимов,которые были созданы также сподменой одного изсимволов,чтобы отвести возможные подозрения исделать операцию труднообнаружимой.
Access Now отмечает,что атаки небыли технически сложными иопирались преимущественно наметоды социальной инженерии. Так,хакер мог апеллировать фактами изжизни жертвы,полученными изпочтовых ящиков,взломанных ранее,«забывать» сразу прикрепить документ сфишинговой ссылкой,отправлять ееотдельно,долго неотвечать.Вписьмах имитировались повседневные сценарии,скоторыми регулярно сталкиваются организации,занимающиеся журналистскими расследованиями или защитой прав человека.Также хакеры задействовали такие приемы,как машинная проверка (необходимость ввести капчу для входа ваккаунт,чтобы убедить жертву вподлинности сервиса) исокрытие метаданных PDF.
При этом использование злоумышленниками виртуальных частных серверов позволило выявить ипредупредить других потенциальных жертв вРоссии,Украинеииных странах Восточной Европы.Для обеспечения защиты специалисты Access Now рекомендуют применять двухфакторную аутентификацию,однако неSMS-сообщения,аключи безопасности или ключи паролей Google вслучае,если речь идет опользователях Gmail.