Depositphotos
Як можливо хакнути багатофакторну аутентифікацію Gmail? Доступ з застосунків плюс соціальна інженерія.
Хакери з росії видавали себе за представників Державного департаменту США, їхньою мішенню стали відомі науковці та критики росії. Атаку здійснено за допомогою техніки «складної та персоналізованої соціальної інженерії», як повідомляє BleepingComputer.
Між квітнем та початком червня хакери розсилали ретельно розроблені фішингові повідомлення, метою яких було переконати одержувачів створити паролі для застосунків та поділитися ними. Ці програми, своєю чергою, надавали доступ до облікових записів Google. Таким чином обходилася двофакторна аутентифікація (2FA), оскільки користувачі самі надали застосунку доступ до Gmail.
Дослідники безпеки з Google Threat Intelligence Group (GTIG) відстежили кіберзлочинця, відомого як UNC6293. Вони вважають, що хакер спонсорований російською державою та може бути пов’язаний з групою APT29, керованою службою зовнішньої розвідки росії. Вона також відома під назвами NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard та працює щонайменше з 2008 року. Її цілями є урядові мережі, дослідницькі інститути та аналітичні центри.
Дослідницька група The Citizen Lab розслідувала інцидент фішингової кампанії UNC6293, спрямованої проти експерта з інформаційних операцій Кіра Джайлза. Атака розпочалася з електронного листа, підписаного Клоді С. Вебер, нібито з Державного департаменту США, в якому Джайлза запросили до «приватної онлайн-розмови».
Хоча повідомлення надійшло з облікового запису Gmail, у рядку копій присутні кілька адрес електронної пошти @state.gov, зокрема адреса Клоді С. Вебер, що надає листу більш офіційний вигляд. Дослідники не знайшли жодної Клоді С. Вебер у Держдепі.
«Ми вважаємо, зловмисник знає, що поштовий сервер Державного департаменту, вочевидь, налаштований на приймання усіх повідомлень і не надсилає сповіщення про відмову, навіть якщо адреса не існує», — кажуть у The Citizen Lab
Після кількох електронних листів Джайлз висловив зацікавленість, але повідомив, що може бути недоступні у зазначений день. Тоді зловмисник запросив його приєднатися до платформи Державного департаменту «MS DoS Guest Tenant», «що дозволить легко відвідувати майбутні зустрічі, незалежно від того, коли вони відбудуться».
Джайлз погодився та отримав PDF-файл із детальним описом того, як створити пароль для застосунку з доступом до облікового запису Google, який нібито був необхідний для реєстрації гостьового користувача на платформі.
Код доступу до програми потрібно було передати «адміністраторам DoS у США для додавання зовнішнього користувача до гостьового орендаря O365». Це пояснювалося в інструкціях щодо альтернативного рішення, яке нібито забезпечує безпечний зв’язок через платформу між співробітниками DoS у США та зовнішніми користувачами з обліковими записами Gmail.
Психологічно ціль вважає, що створює та поширює пароль застосунку для безпечного доступу до платформи Державного департаменту. Насправді вона надає зловмиснику повний доступ до свого облікового запису Google.
З квітня по червень GTIG виявила дві кампанії, одна з яких спиралася на теми, пов’язані з Держдепом, а інша використовувала приманки, пов’язані з Україною та Microsoft. Обидві кампанії мали в інфраструктурі резидентні проксі-сервери та віртуальні приватні сервери, що дозволяло зловмиснику залишатися анонімним під час входу до скомпрометованих облікових записів.
Кампанії соціальної інженерії, які спостерігали The Citizen Lab та GTIG, були майстерно розроблені та спиралися на численні фальшиві особистості, облікові записи й інші дані та способи для створення ілюзії правдоподібності. Щоб захистися від досвідчених зловмисників, Google рекомендує зареєструватися в Програмі розширеного захисту, яка підвищує заходи безпеки облікового запису та не дозволяє створювати пароль для подібних застосунків або входити в систему без логіну.