Российские хакеры похитили пароли от Gmail

Хакерская группа получила доступ к Gmail-аккаунтам западных экспертов, журналистов и исследователей, изучающих российскую пропаганду и агрессию против Украины.

В период с апреля по начало июня хакеры рассылали тщательно продуманные фишинговые сообщения. Их целью было убедить получателей создать и предоставить пароли для определенных приложений, которые обеспечили бы доступ к их учетным записям Gmail, пишет BleepingComputer.

Как объясняют исследователи Citizen Lab, жертвы полагали, что создают и передают пароль для конкретного приложения, чтобы безопасно получить доступ к платформе Госдепартамента США, но на самом деле она предоставляет злоумышленнику полный доступ к своей учетной записи Google.

Кража Gmail-паролей: как действовали хакеры

Целью злоумышленников были известные исследователи и критики России. Эксперты раскрыли тактику хакеров, описав атаку на российского эксперта по информационным операциям Кейра Джайлза.

Сначала Джайлз получил электронное письмо, подписанное Клоди С. Вебер, якобы из Госдепартамента США. В нем адресату предлагается принять участие в "частной онлайн-беседе".

После нескольких электронных писем, в которых Джайлз выразил заинтересованность, но сообщал, что не может присоединиться к беседе в указанный день, мошенники предложили ему присоединиться к платформе Госдепартамента "MS DoS Guest Tenant", чтобы "с легкостью посещать будущие встречи, независимо от того, когда они состоятся".

Джайлз согласился и получил PDF-файл с подробным описанием того, как создать пароль для приложения в учетной записи Google, необходимый для регистрации на предполагаемой платформе в качестве гостевого пользователя.

На более позднем этапе обмана был предоставлен пароль приложения "администраторам DoS США для добавления внешнего пользователя в гостевой клиент O365". В инструкции говорилось, что это альтернативное решение, которое обеспечивает безопасную связь через платформу между сотрудниками Госдепартамента США и внешними пользователями с учетными записями Gmail.

Кто стоит за атакой и как защититься

Исследователи безопасности из Google Threat Intelligence Group определили киберпреступника как UNC6293. Они полагают, что он спонсируется государством и может быть связан с APT29, группой под началом Службы внешней разведки России (СВР).

APT29 известна под несколькими именами (NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard) и действует как минимум с 2008 года. Ее целями, как правило, являются правительственные сети, научно-исследовательские институты и аналитические центры.

Чтобы не стать жертвой хакеров, Google рекомендует зарегистрироваться в своей Программе расширенной защиты, которая усиливает меры безопасности учетной записи и не позволяет создавать пароль для конкретного приложения или входить в систему без предоставления определенного ключа доступа.

Фокус