By Belkorpus 
ФСБ организовала одну из сложнейших фишинговых атак на журналистов, юристов и дипломатов. Она длится уже более полутора лет
Журналисты, правозащитники, оппозиционеры и американские политики стали целью сложной фишинговой атаки продолжительностью более полутора лет. Одна из двух участвующих в атаке группировок связана с ФСБ. Сейчас известно о более чем 10 целях нападения. Среди них – «Проект», «Первый отдел», бывший посол США в Украине Стивен Пфайфер. Однако эксперты полагают, что реальное число целей может быть больше.
Главное. «С точки зрения фишинга, это была одна из наиболее изощренных кампаний, нацеленных на российское гражданское общество», – сказал «Агентству» Джон Скотт-Рейлтон, старший исследователь в Citizen Lab. «В гражданском секторе такого еще не было», – еще более категоричен глава «Первого отдела» Дмитрий Заир-Бек.
Лаборатория Citizen Lab в среду обнародовала результаты расследования, которое провела совместно с Access Now при участии «Первого отдела», а также группы Arjuna Team и RESIDENT.ngo. Участники пришли к выводу, что не позднее конца 2022 года поддерживаемые Россией хакеры запустили фишинговую атаку.
Нельзя точно назвать начало кампании, уточняет Заир-Бек. Он допускает, что атаки были и до первого известного случая – в конце 2022 года. В этом году число атак в рамках этой кампании выросло кратно, сказал он.
Часть атак была осуществлена группировкой Coldriver, связываемой с ФСБ. Часть атак имела другой почерк, поэтому эксперты отнесли ее к другой группировке, Coldwastrel. С какой российской спецслужбой связана эта группировка, неизвестно.
Атака на «Проект» (как и «Агентство», основан Романом Баданиным) началась в ноябре прошлого года, когда издатель Полина Махольд получила письмо от бывшего партнера. В нем партнер предложил новую идею и переслал файл в формате PDF. Этот документ не открылся с помощью встроенных в почтовые сервисы расширений, а в Protonmail появилось уведомление с предложением продолжить работу в Proton Drive, перейдя по ссылке.
Лишь в последний момент Махольд заметила, что url не совпадал с реальным доменом Proton Drive. Это был фишинговый сайт. «Проект» избежал взлома.
Не принадлежал деловому партнеру «Проекта» и ящик, с которого пришло письмо.
Картина целиком. По похожей схеме работали хакеры и в других случаях. В конце 2022 года после атаки на почту сотрудника «Первого отдела» на том же Protonmail был создан ящик, немного отличающийся от реального адреса сотрудника «Первого отдела». С него рассылались письма с PDF-файлом и ссылкой на фишинговую страницу.
Бывший посол США в Украине Стивен Пайфер был также вовлечен в коммуникацию с якобы другим экс-послом.
По крайней мере в двух случаях, по данным «Агентства», были атакованы менеджеры, занимающиеся финансами в проектах, что может свидетельствовать о том, что выбор целей атаки не был случайным.
Для взлома использовались сообщения двух типов. В первом случае жертве отправлялось электронное письмо автоматическое уведомление Google Drive о том, что для пользователя открыт документ.
Во втором случае сообщения создавалось специально под взламываемого пользователя. При этом учитывались данные об этом пользователе, в том числе, судя по всему, и из почтовых ящиков, к которым злоумышленники получили доступ ранее. В ходе переписки использовались практики социального инжиниринга: хакер мог «забывать» сразу прикрепить документ с фишинговой ссылкой, досылать ссылку на документ отдельно, долго не отвечать и т.д. При попытке открытия документа цель атаки видела уведомление о том, что документ невозможно открыть встроенными в почту расширениями Google Drive и Proton Drive, после чего жертве предлагали открыть якобы сайты этих сервисов и уже с их помощью происходило похищение личных данных.
Итоги кампании. Некоторые атаки оказались успешными, сказал Заир-Бек. Однако он затруднился назвать более точную цифру, поскольку большинство подвергшихся нападению организации не готовы говорить об этом.
Целиком — на сайте
Подпишитесь на «Агентство»
Журналисты, правозащитники, оппозиционеры и американские политики стали целью сложной фишинговой атаки продолжительностью более полутора лет. Одна из двух участвующих в атаке группировок связана с ФСБ. Сейчас известно о более чем 10 целях нападения. Среди них – «Проект», «Первый отдел», бывший посол США в Украине Стивен Пфайфер. Однако эксперты полагают, что реальное число целей может быть больше.
Главное. «С точки зрения фишинга, это была одна из наиболее изощренных кампаний, нацеленных на российское гражданское общество», – сказал «Агентству» Джон Скотт-Рейлтон, старший исследователь в Citizen Lab. «В гражданском секторе такого еще не было», – еще более категоричен глава «Первого отдела» Дмитрий Заир-Бек.
Лаборатория Citizen Lab в среду обнародовала результаты расследования, которое провела совместно с Access Now при участии «Первого отдела», а также группы Arjuna Team и RESIDENT.ngo. Участники пришли к выводу, что не позднее конца 2022 года поддерживаемые Россией хакеры запустили фишинговую атаку.
Нельзя точно назвать начало кампании, уточняет Заир-Бек. Он допускает, что атаки были и до первого известного случая – в конце 2022 года. В этом году число атак в рамках этой кампании выросло кратно, сказал он.
Часть атак была осуществлена группировкой Coldriver, связываемой с ФСБ. Часть атак имела другой почерк, поэтому эксперты отнесли ее к другой группировке, Coldwastrel. С какой российской спецслужбой связана эта группировка, неизвестно.
Атака на «Проект» (как и «Агентство», основан Романом Баданиным) началась в ноябре прошлого года, когда издатель Полина Махольд получила письмо от бывшего партнера. В нем партнер предложил новую идею и переслал файл в формате PDF. Этот документ не открылся с помощью встроенных в почтовые сервисы расширений, а в Protonmail появилось уведомление с предложением продолжить работу в Proton Drive, перейдя по ссылке.
Лишь в последний момент Махольд заметила, что url не совпадал с реальным доменом Proton Drive. Это был фишинговый сайт. «Проект» избежал взлома.
Не принадлежал деловому партнеру «Проекта» и ящик, с которого пришло письмо.
Картина целиком. По похожей схеме работали хакеры и в других случаях. В конце 2022 года после атаки на почту сотрудника «Первого отдела» на том же Protonmail был создан ящик, немного отличающийся от реального адреса сотрудника «Первого отдела». С него рассылались письма с PDF-файлом и ссылкой на фишинговую страницу.
Бывший посол США в Украине Стивен Пайфер был также вовлечен в коммуникацию с якобы другим экс-послом.
По крайней мере в двух случаях, по данным «Агентства», были атакованы менеджеры, занимающиеся финансами в проектах, что может свидетельствовать о том, что выбор целей атаки не был случайным.
Для взлома использовались сообщения двух типов. В первом случае жертве отправлялось электронное письмо автоматическое уведомление Google Drive о том, что для пользователя открыт документ.
Во втором случае сообщения создавалось специально под взламываемого пользователя. При этом учитывались данные об этом пользователе, в том числе, судя по всему, и из почтовых ящиков, к которым злоумышленники получили доступ ранее. В ходе переписки использовались практики социального инжиниринга: хакер мог «забывать» сразу прикрепить документ с фишинговой ссылкой, досылать ссылку на документ отдельно, долго не отвечать и т.д. При попытке открытия документа цель атаки видела уведомление о том, что документ невозможно открыть встроенными в почту расширениями Google Drive и Proton Drive, после чего жертве предлагали открыть якобы сайты этих сервисов и уже с их помощью происходило похищение личных данных.
Итоги кампании. Некоторые атаки оказались успешными, сказал Заир-Бек. Однако он затруднился назвать более точную цифру, поскольку большинство подвергшихся нападению организации не готовы говорить об этом.
Целиком — на сайте
Подпишитесь на «Агентство»