Россию обвинили в том, что она проводит «изощренные» фишинговые атаки

«Российское агентство государственной безопасности проводит все более изощренные фишинговые атаки на граждан США, Европы и России, в некоторых случаях выдавая себя за людей, лично близких к объектам атак», — говорится в новом расследовании исследователей безопасности. Отчет Citizen Lab при Университете Торонто и Access Now появился после того, как ФБР начало отдельное расследование попыток хакерских атак со стороны Ирана, направленных на советника Дональда Трампа и советников кампании Харриса-Вальца.

Хакерские кампании, спонсируемые государством, в том числе с целью повлиять на политические кампании, происходили и раньше. Хиллари Клинтон подвергалась атакам хакеров, связанных с российским правительством (по утверждению правительства США), за несколько месяцев до ее неудачной президентской кампании в 2016 году. Но исследователи утверждают, что российские атаки становятся все более изощренными как в плане стратегии социальной инженерии, так и в технических аспектах.

Целями недавней серии попыток атак стали бывший посол США на Украине Стивен Пайфер и Полина Махольд (объявлена иноагентом за связь с проектом «Проект»). В случае с Пайфером исследователи заявили, что он стал объектом атаки после «весьма достоверного» обмена информацией с участием человека, выдававшего себя за другого бывшего посла США, которого Пайфер знал.

В случае с Махольд использовался более изощренный метод атаки. С журналисткой, живущей в Германии, впервые связался в ноябре 2023 года по электронной почте ее коллега из другого издательства, с которым она работала ранее. Он попросил ее посмотреть прикрепленный файл, но никакого вложения не было.

Спустя несколько месяцев он снова связался с ней, на этот раз используя логин на Proton Mail — бесплатной и безопасной почтовой службе, которой обычно пользуются журналисты. По ее словам, тревогу она забила, когда во вложении к этому письму, которое она открыла и которое оказалось похожим на диск Proton Mail, потребовались данные для входа в систему. Она позвонила собеседнику, который с шоком заявил, что не переписывался с ней.

Исследователи заявили, что фишинговая кампания, направленная на Махольд и Пайфера, была проведена агентом, которого они назвали Coldriver. Исследователи и правительство США приписало его к Федеральной службе безопасности (ФСБ) России. Второй, названный Coldwastrel, имел схожую схему нападения. При этом доказательств этого публично предоставлено не было.

Наиболее распространенная тактика, которую наблюдали исследователи, заключалась в том, что злоумышленник начинал обмен электронными сообщениями, маскируясь под знакомого жертвы, и просил ознакомиться с документом. Прикрепленный PDF-файл обычно выдается за зашифрованный с помощью сервиса, ориентированного на конфиденциальность, например Proton Drive, а страница входа может быть даже предварительно заполнена адресом электронной почты жертвы. Если та вводит свой пароль и двухфакторный код, это дает злоумышленнику доступ к учетной записи электронной почты цели.

Ранее группа исследователей заявила, что обнаружила ряд недостатков в безопасности различных базовых полос 5G — процессоров, используемых мобильными телефонами для подключения к мобильным сетям, — которые могли позволить хакерам незаметно взламывать жертв и шпионить за ними. Они также выпустили 5GBaseChecker на GitHub, чтобы другие исследователи могли использовать его для поиска уязвимостей 5G.