Хакеры устроили фишинговую атаку на активистов, независимые СМИ и некоммерческие организации (в том числе из России) Они создавали ящики в ProtonMail, похожие на адреса правозащитников. Возможно, к этому причастна группировка, связанная с ФСБ
Исследователи из Citizen Lab совместно со специалистами Access Now, правозащитным проектом «Первый отдел» и другими организациями выявили две кампании «целевого фишинга», нацеленные на гражданских активистов, независимые СМИ и международные неправительственные организации из Восточной Европы (речь идет в том числе о российских и белорусских организациях). Для атак использовались поддельные электронные адреса ProtonMail, что помогало хакерам выдавать себя за реальные организации или людей, которые были знакомы жертвам. К фишинговым письмам прикреплялись PDF-документы, которые якобы не удается открыть без входа в аккаунт пользователя. Они вели на поддельную страницу входа.
Access Now получила информацию о первой атаке в марте 2023 года от «Первого отдела». Тогда выяснилось, что хакеры использовали почту на сервисе шифрованной электронной почты ProtonMail, чтобы выдавать себя за сотрудника «известной российской неправительственной организации». Они рассылали «хорошо продуманные» электронные письма нескольким целевым группам, в том числе международным НПО. Злоумышленники меняли одну букву в электронном адресе, чтобы жертвам было сложнее заподозрить обман. Почтовый адрес мог выглядеть так — Ivan.les[email protected], а поддельный так — Ivan.lec[email protected], то есть они могли отличаться одной буквой — s и с. При этом человек, чья учетная запись была выдана за настоящую, также подвергся фишинговой атаке на свой адрес электронной почты, в результате которой потерял к ней доступ, отмечается в докладе. Злоумышленники создали почтовый сервер с фейковыми доменами, чтобы выдавать себя за существующие организации, в том числе знакомые жертвам.
В проанализированных специалистами случаях письма содержали вложения в формате PDF. Файлы выглядели так, будто доступ к ним закрыт, пока пользователь не войдет в свой аккаунт в одном из облачных хранилищ, таком как Proton Drive или Google Drive. Там же была «ссылка для входа», но если получатель кликал по ней, у него открывалась поддельная страница, имитирующая страницу входа в Proton или Gmail. На ней уже могло быть заполнено поле с электронной почтой потенциальной жертвы. Если получатель вводил свой пароль и код от двухфакторной аутентификации, то эти данные перехватывались злоумышленниками.
Экспертам удалось выявить нескольких потенциальных жертв помимо тех, кто изначально обратился к ним с жалобами на фишинг. По версии исследователей, злоумышленники «могут быть связаны с российскими властями или близки к ним», так как под атаку попали или могли попасть те, кто занимается правозащитной деятельностью в России, Украине и «по всему региону», что «делает их целями Кремля». В докладе отмечается, что злоумышленники знали о деятельности своих жертв, так как в письмах учитывался контекст — в частности, такие темы, как финансирование или гранты.
Второй вид атак, о которых рассказывается в докладе, наблюдался с апреля по июль 2024 года и имел сходства с первым. В этом случае злоумышленники снова пытались выдавать себя за людей, которых могли знать жертвы. Однако некоторые из них рассказали, что не делились своими контактными данными с людьми, за которых себя выдавали злоумышленники. Кроме того, у реального человека или организации могло не быть почты на ProtonMail.
По версии Citizen Lab, к этим атакам причастна хакерская группировка ColdRiver, также известная как Callisto Group или SEABORGIUM. Власти некоторых стран называли эту группировку подконтрольной ФСБ России (точнее, подразделению, известному как 18-й центр). При этом специалисты не готовы утверждать, что ColdRiver причастна к первым атакам с помощью фишинговых писем.
Российскую хакерскую группировку ColdRiver не раз обвиняли в атаках на западных активистов, правительства и чиновников. В декабре 2023 года правительство Великобритании заявило, что группировка смогла с помощью кибератак похитить данные, связанные с выборами 2019 года. В том же году агентство Reuters выпустило расследование, в котором говорилось, что хакеры из группировки ColdRiver попытались проникнуть во внутренние сети американских ядерных лабораторий — национальной лаборатории Брукхейвен в штате Нью-Йорк, Аргоннской национальной лаборатории в Чикаго и Ливерморской национальной лаборатории в Калифорнии. По информации журналистов, хакеры пытались получить пароли от внутренних сетей учреждений, создавая фальшивые логин-экраны и отправляя электронные письма их сотрудникам.
Дополнение. Вскоре после публикации доклада «Агентство» сообщило, что под атаку хакеров попало издание «Проект». В ноябре 2023 года издатель «Проекта» Полина Махольд получила письмо от бывшего партнера. В нем он предложил новую идею и переслал файл в формате PDF. Документ не открывался с помощью встроенных в почтовые сервисы расширений, а в ProtonMail появилось уведомление с предложением продолжить работу в Proton Drive, перейдя по ссылке. «Лишь в последний момент Махольд заметила, что url не совпадал с реальным доменом Proton Drive. Это был фишинговый сайт. „Проект“ избежал взлома. Не принадлежал деловому партнеру „Проекта“ и ящик, с которого пришло письмо», — говорится в посте «Агентства».
