В проанализированных специалистами случаях письма содержали вложения в формате PDF. Файлы выглядели так, будто доступ к ним закрыт, пока пользователь не войдет в свой аккаунт в одном из облачных хранилищ, таком как Proton Drive или Google Drive. Там же была «ссылка для входа», но если получатель кликал по ней, у него открывалась поддельная страница, имитирующая страницу входа в Proton или Gmail. На ней уже могло быть заполнено поле с электронной почтой потенциальной жертвы. Если получатель вводил свой пароль и код от двухфакторной аутентификации, то эти данные перехватывались злоумышленниками.
Читайте также
Экспертам удалось выявить нескольких потенциальных жертв помимо тех, кто изначально обратился к ним с жалобами на фишинг. По версии исследователей, злоумышленники «могут быть связаны с российскими властями или близки к ним», так как под атаку попали или могли попасть те, кто занимается правозащитной деятельностью в России, Украине и «по всему региону», что «делает их целями Кремля». В докладе отмечается, что злоумышленники знали о деятельности своих жертв, так как в письмах учитывался контекст — в частности, такие темы, как финансирование или гранты.
Второй вид атак, о которых рассказывается в докладе, наблюдался с апреля по июль 2024 года и имел сходства с первым. В этом случае злоумышленники снова пытались выдавать себя за людей, которых могли знать жертвы. Однако некоторые из них рассказали, что не делились своими контактными данными с людьми, за которых себя выдавали злоумышленники. Кроме того, у реального человека или организации могло не быть почты на ProtonMail.
По версии Citizen Lab, к этим атакам причастна хакерская группировка ColdRiver, также известная как Callisto Group или SEABORGIUM. Власти некоторых стран называли эту группировку подконтрольной ФСБ России (точнее, подразделению, известному как 18-й центр). При этом специалисты не готовы утверждать, что ColdRiver причастна к первым атакам с помощью фишинговых писем.
Российскую хакерскую группировку ColdRiver не раз обвиняли в атаках на западных активистов, правительства и чиновников. В декабре 2023 года правительство Великобритании заявило, что группировка смогла с помощью кибератак похитить данные, связанные с выборами 2019 года. В том же году агентство Reuters выпустило расследование, в котором говорилось, что хакеры из группировки ColdRiver попытались проникнуть во внутренние сети американских ядерных лабораторий — национальной лаборатории Брукхейвен в штате Нью-Йорк, Аргоннской национальной лаборатории в Чикаго и Ливерморской национальной лаборатории в Калифорнии. По информации журналистов, хакеры пытались получить пароли от внутренних сетей учреждений, создавая фальшивые логин-экраны и отправляя электронные письма их сотрудникам.
Дополнение. Вскоре после публикации доклада «Агентство» сообщило, что под атаку хакеров попало издание «Проект». В ноябре 2023 года издатель «Проекта» Полина Махольд получила письмо от бывшего партнера. В нем он предложил новую идею и переслал файл в формате PDF. Документ не открывался с помощью встроенных в почтовые сервисы расширений, а в ProtonMail появилось уведомление с предложением продолжить работу в Proton Drive, перейдя по ссылке. «Лишь в последний момент Махольд заметила, что url не совпадал с реальным доменом Proton Drive. Это был фишинговый сайт. „Проект“ избежал взлома. Не принадлежал деловому партнеру „Проекта“ и ящик, с которого пришло письмо», — говорится в посте «Агентства».
Читайте также
• Силовики получат больше данных для поиска размещающих в интернете «противоправный» контент россиянах 06.05.2024
• В России закрылся проект, которым Путин предлагал заменить Википедию. Почему власти перестали его финансировать? И кто еще конкурирует с «Вики»? Материал T-invariant 16.07.2024
• TikTok ограничил распространение российской пропаганды 23.05.2024
• Роскомнадзор планирует потратить 59 млрд рублей на обновление системы блокировки и достичь 96% эффективности в ограничении VPN к 2030 году. Т.е. полностью закрыть ваш любимый интернет 10.09.2024
• Институт засорения говном интернета (это он раздает деньги на «патриотический» контент) запустит собственный телеканал «Мы» 05.03.2024
⚠ Если вы из России, то некоторые картинки и видео вы увидите только с VPN.
⚠ URL в комментариях запрещены
✉ Email нужен только для идентификации. Мы не рассылаем писем.
✏ Ругать, хвалить или предложить...