Российские хакеры похитили пароли от Gmail: кому стоит беспокоиться за свои данные
Хакерская группа получила доступ к Gmail-аккаунтам западных экспертов, журналистов и исследователей, изучающих российскую пропаганду и агрессию против Украины.
В период с апреля по начало июня хакеры рассылали тщательно продуманные фишинговые сообщения. Их целью было убедить получателей создать и предоставить пароли для определенных приложений, которые обеспечили бы доступ к их учетным записям Gmail, пишет BleepingComputer.
Как объясняют исследователи Citizen Lab, жертвы полагали, что создают и передают пароль для конкретного приложения, чтобы безопасно получить доступ к платформе Госдепартамента США, но на самом деле она предоставляет злоумышленнику полный доступ к своей учетной записи Google.
Кража Gmail-паролей: как действовали хакеры
Целью злоумышленников были известные исследователи и критики России. Эксперты раскрыли тактику хакеров, описав атаку на российского эксперта по информационным операциям Кейра Джайлза.
Сначала Джайлз получил электронное письмо, подписанное Клоди С. Вебер, якобы из Госдепартамента США. В нем адресату предлагается принять участие в "частной онлайн-беседе".
После нескольких электронных писем, в которых Джайлз выразил заинтересованность, но сообщал, что не может присоединиться к беседе в указанный день, мошенники предложили ему присоединиться к платформе Госдепартамента "MS DoS Guest Tenant", чтобы "с легкостью посещать будущие встречи, независимо от того, когда они состоятся".
Джайлз согласился и получил PDF-файл с подробным описанием того, как создать пароль для приложения в учетной записи Google, необходимый для регистрации на предполагаемой платформе в качестве гостевого пользователя.
На более позднем этапе обмана был предоставлен пароль приложения "администраторам DoS США для добавления внешнего пользователя в гостевой клиент O365". В инструкции говорилось, что это альтернативное решение, которое обеспечивает безопасную связь через платформу между сотрудниками Госдепартамента США и внешними пользователями с учетными записями Gmail.
Кто стоит за атакой и как защититься
Исследователи безопасности из Google Threat Intelligence Group определили киберпреступника как UNC6293. Они полагают, что он спонсируется государством и может быть связан с APT29, группой под началом Службы внешней разведки России (СВР).
ВажноAPT29 известна под несколькими именами (NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard) и действует как минимум с 2008 года. Ее целями, как правило, являются правительственные сети, научно-исследовательские институты и аналитические центры.
Чтобы не стать жертвой хакеров, Google рекомендует зарегистрироваться в своей Программе расширенной защиты, которая усиливает меры безопасности учетной записи и не позволяет создавать пароль для конкретного приложения или входить в систему без предоставления определенного ключа доступа.
Напомним, эксперты по кибербезопасности выявили колоссальную утечку, включающую 16 миллиардов раскрытых учетных данных, что делает ее одной из крупнейших в истории.
Также сообщалось, что более миллиона устройств Android были взломаны вредоносным ПО в ходе глобальной операции под названием BADBOX 2.0.