Служба поддержки по цифровой безопасности Access Now выявила две фишинговые кампании, направленные против представителей гражданского общества из Восточной Европы и международных неправительственных организаций, работающих в регионе. Соответствующий отчет опубликован на сайте службы.
Жертвами атак со стороны прокремлевских хакерских группировок стали более 10 российских НКО и независимых СМИ, сообщили The Moscow Times в Access Now. В числе пострадавших — издание «Проект», бывший посол США в Украине Стивен Пфайфер и правозащитная организация «Первый отдел», которая помогает фигурантам уголовных дел о госизмене, шпионаже, экстремизме, а также борется за обеспечение свободы доступа к информации из государственных архивов.
Фишинговые кампании проводились в период с октября 2022 года по август 2024 года. Способы атак, профили жертв и другие технические свидетельства указывают на то, что злоумышленники являются хакерами из близких к Кремлю группировок.
Специалисты лаборатории The Citizen Lab при университете Торонто подтвердили, что атаки в период с апреля по июнь 2024 года осуществляла связанная с ФСБ группировка Cold River, также известная как Star Blizzard или Callisto. Еще одна операция, которая проводилась с октября 2022 года по август 2024 года, была делом рук других хакеров из неизвестного объединения, которому дали название Cold Wastrel. С какой российской спецслужбой оно связано, расследователи выяснить не смогли.
Cold Wastrel использовала почтовые адреса сервиса Proton Mail: таким образом хакеры пытались выдать себя за организации или отдельных лиц, которые были знакомы жертвам. Access Now впервые получила сигнал об этих атаках в марте 2023 года. Злоумышленники рассылали электронные письма различным международным НПО. Почтовые сообщения были замаскированы таким образом, будто бы их отправили с учетной записи, хорошо известной целевым группам. В частности, в адресе отправителя был изменен только один символ, например, «s» на «c», чтобы разница была почти незаметной.
В ряде случаев электронное письмо имитировало рассылаемое Google Drive автоматическое уведомление о том, что для пользователя открыт документ, созданный на этом сервисе. Другие письма содержали заблокированные вложения в формате PDF и ссылку, которую предлагалось нажать, чтобы получить доступ к содержимому. При переходе по ней открывалась поддельная страница входа в Proton Mail или Gmail, через которую злоумышленники собирали пароли и коды для двухфакторной аутентификации, либо страница загрузки вредоносного программного обеспечения.
Для последующих атак в 2023 году использовалась другая тактика. Злоумышленники создали почтовый сервер с поддельными доменами, чтобы выдать себя за организацию из списка реальных партнеров жертв. Этот метод сочетался с использованием знакомых псевдонимов, которые были созданы также с подменой одного из символов, чтобы отвести возможные подозрения и сделать операцию труднообнаружимой.
Access Now отмечает, что атаки не были технически сложными и опирались преимущественно на методы социальной инженерии. Так, хакер мог апеллировать фактами из жизни жертвы, полученными из почтовых ящиков, взломанных ранее, «забывать» сразу прикрепить документ с фишинговой ссылкой, отправлять ее отдельно, долго не отвечать. В письмах имитировались повседневные сценарии, с которыми регулярно сталкиваются организации, занимающиеся журналистскими расследованиями или защитой прав человека. Также хакеры задействовали такие приемы, как машинная проверка (необходимость ввести капчу для входа в аккаунт, чтобы убедить жертву в подлинности сервиса) и сокрытие метаданных PDF.
При этом использование злоумышленниками виртуальных частных серверов позволило выявить и предупредить других потенциальных жертв в России, Украине и иных странах Восточной Европы. Для обеспечения защиты специалисты Access Now рекомендуют применять двухфакторную аутентификацию, однако не SMS-сообщения, а ключи безопасности или ключи паролей Google в случае, если речь идет о пользователях Gmail.
