Как можно хакнуть многофакторную аутентификацию Gmail? Доступ из приложений плюс социальная инженерия.
Хакеры из россии выдавали себя за представителей Государственного департамента США, их мишенью стали известные ученые и критики россии. Атака осуществлена с помощью техники «сложной и персонализированной социальной инженерии», как сообщает BleepingComputer.
Между апрелем и началом июня хакеры рассылали тщательно разработанные фишинговые сообщения, целью которых было убедить получателей создать пароли для приложений и поделиться ими. Эти программы, в свою очередь, предоставляли доступ к учетным записям Google. Таким образом обходилась двухфакторная аутентификация (2FA), поскольку пользователи сами предоставили приложению доступ к Gmail.
Исследователи безопасности из Google Threat Intelligence Group (GTIG) отследили киберпреступника, известного как UNC6293. Они считают, что хакер спонсирован российским государством и может быть связан с группой APT29, управляемой службой внешней разведки россии. Она также известна под названиями NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard и работает по меньшей мере с 2008 года. Ее целями являются правительственные сети, исследовательские институты и аналитические центры.
Исследовательская группа The Citizen Lab расследовала инцидент фишинговой кампании UNC6293, направленной против эксперта по информационным операциям Кира Джайлза. Атака началась с электронного письма, подписанного Клоди С. Вебер, якобы из Государственного департамента США, в котором Джайлза пригласили на «частный онлайн-разговор».
Хотя сообщение поступило из учетной записи Gmail, в строке копий присутствуют несколько адресов электронной почты @state.gov, в частности адрес Клоди С. Вебер, что придает письму более официальный вид. Исследователи не нашли никакой Клоди С. Вебер в Госдепе.
«Мы считаем, злоумышленник знает, что почтовый сервер Государственного департамента, очевидно, настроен на прием всех сообщений и не отправляет уведомления об отказе, даже если адрес не существует», — говорят в The Citizen Lab
После нескольких электронных писем Джайлз выразил заинтересованность, но сообщил, что может быть недоступен в указанный день. Тогда злоумышленник пригласил его присоединиться к платформе Государственного департамента «MS DoS Guest Tenant», «что позволит легко посещать будущие встречи, независимо от того, когда они состоятся».
Джайлз согласился и получил PDF-файл с подробным описанием того, как создать пароль для некоего приложения с доступом к учетной записи Google, который якобы был необходим для регистрации гостевого пользователя на платформе.
Код доступа к приложению должен был быть передан «администраторам DoS в США для добавления внешнего пользователя в гостевой арендатор O365». Это объяснялось в инструкциях по альтернативному решению, которое якобы обеспечивает безопасную связь через платформу между сотрудниками DoS в США и внешними пользователями с учетными записями Gmail.
Психологически цель считает, что создает и делится паролем приложения для безопасного доступа к платформе Государственного департамента. На самом деле она предоставляет злоумышленнику полный доступ к своей учетной записи Google.
С апреля по июнь GTIG обнаружила две кампании, одна из которых опиралась на темы, связанные с Госдепом, а другая использовала приманки, связанные с Украиной и Microsoft. Обе кампании имели в инфраструктуре резидентные прокси-серверы и виртуальные приватные серверы, что позволяло злоумышленнику оставаться анонимным при входе в скомпрометированные учетные записи.
Кампании социальной инженерии, которые наблюдали The Citizen Lab и GTIG, были искусно разработаны и опирались на многочисленные фальшивые личности, учетные записи и другие данные и способы для создания иллюзии правдоподобия. Чтобы защититься от опытных злоумышленников, Google рекомендует зарегистрироваться в Программе расширенной защиты, которая повышает меры безопасности учетной записи и не позволяет создавать пароль для подобных приложений или входить в систему без логина.
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: