Хакерська група отримала доступ до Gmail-акаунтів західних експертів, журналістів та дослідників, які вивчають російську пропаганду та агресію проти України.
У період з квітня до початку червня хакери розсилали ретельно продумані фішингові повідомлення. Їхньою метою було переконати одержувачів створити і надати паролі для певних додатків, які забезпечили б доступ до їхніх облікових записів Gmail, пише BleepingComputer.
Як пояснюють дослідники Citizen Lab, жертви вважали, що створюють і передають пароль для конкретного додатка, щоб безпечно отримати доступ до платформи Держдепартаменту США, але насправді вони надають зловмиснику повний доступ до свого облікового запису Google.
Метою зловмисників були відомі дослідники та критики Росії. Експерти розкрили тактику хакерів, описавши атаку на російського експерта з інформаційних операцій Кейра Джайлза.
Спочатку Джайлз отримав електронного листа, підписаного Клоді С. Вебер, нібито з Держдепартаменту США. Вебер, нібито з Держдепартаменту США. У ньому адресату пропонується взяти участь у "приватній онлайн-бесіді".
Після кількох електронних листів, у яких Джайлз висловив зацікавленість, але повідомляв, що не може долучитися до бесіди в зазначений день, шахраї запропонували йому приєднатися до платформи Держдепартаменту "MS DoS Guest Tenant", щоб "з легкістю відвідувати майбутні зустрічі, незалежно від того, коли вони відбудуться".
Джайлз погодився і отримав PDF-файл із докладним описом того, як створити пароль для додатка в обліковому записі Google, необхідний для реєстрації на передбачуваній платформі як гостьового користувача.
На більш пізньому етапі обману було надано пароль додатка "адміністраторам DoS США для додавання зовнішнього користувача в гостьовий клієнт O365". В інструкції йшлося, що це альтернативне рішення, яке забезпечує безпечний зв'язок через платформу між співробітниками Держдепартаменту США і зовнішніми користувачами з обліковими записами Gmail.
Дослідники безпеки з Google Threat Intelligence Group визначили кіберзлочинця як UNC6293. Вони вважають, що він спонсорується державою і може бути пов'язаний з APT29, групою під керівництвом Служби зовнішньої розвідки Росії (СЗР).
APT29 відома під кількома іменами (NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard) і діє щонайменше з 2008 року. Її цілями, як правило, є урядові мережі, науково-дослідні інститути та аналітичні центри.
Щоб не стати жертвою хакерів, Google рекомендує зареєструватися у своїй Програмі розширеного захисту, яка посилює заходи безпеки облікового запису та не дозволяє створювати пароль для конкретної програми або входити до системи без надання певного ключа доступу.