Журналисты The Insider заявили об атаке хакеров ГРУ России

Журналисты The Insider вслед за их коллегами из расследовательской организации Bellingcat заявили об изощрённой фишинговой атаке. Об этом говорится в сообщении на сайте издания. В нём же высказывается предположение, что нити ведут к Главному разведывательному управлению (ГРУ). 

На сайте The Insider говорится, что среди целей оказались не менее десяти других журналистов и сотрудников НКО из России, Европы и США, атаки имели несколько волн и начались примерно в конце апреля 2019 года. 

Раскрываются и некоторые подробности, которые удалось получить в результате небольшого расследования. 

«В начале апреля хакеры зарегистрировали 11 доменных имен для того, чтобы маскировать атаки под письма сервиса ProtonMail. Из них в период с 26 апреля по конец июля (когда The Insider и Bellingcat зафиксировали атаку) они успели использовать пять… Экспертам по кибер-безопасности из ThreatConnect удалось установить еще шесть одновременно зарегистрированных доменных имен, которые так и не были использованы», – говорится в сообщении. 

Рассылаемый фишинг представлял собой фейковые предупреждения от ProtonMail о подозрительных попытках входа или о взломе аккаунта. Текст фишинговых писем и по содержанию и по оформлению был очень похож на реальные предупреждения ProtonMail и содержал в себе гиперссылку, пройдя по которой пользователь должен был перейти в настройки, чтобы поменять пароль и «защитить» свой аккаунт.

Кликнув на ссылку, пользователь, судя по всему, попадал на фишинговый сайт, выглядящий, как точная копия ProtonMail, где ему предлагалось ввести пароль. До сих пор неясно, удалось ли хакерам скачать содержимое какого-либо из почтовых ящиков, но известно, что как минимум в одном из случаев им удалось узнать с какими почтовыми адресами вел переписку объект их атаки.

Руководство ProtonMail назвало эту атаку наиболее изощренной из всех, с которыми приходилось сталкиваться компании. Также в компании пояснили, что скрипты фальшивых доменов были синхронизированы с реальным доменом ProtonMail, что в теории могло бы позволять обходить двухфакторную аутентификацию (то есть, если бы пользователь вводил код второго фактора на фишинговом сайте, этот же код автоматически вводился бы и на реальном). Правда, неизвестно, удалось ли хакерам использовать этот прием.

Издание объяснило, почему подозревает в атаках ГРУ России. Ранее некоторые из получателей фишинговых писем ProtonMail уже получали фишинговые письма от группировки хакеров известной как APT28/FancyBear/PawnStorm, члены которой, по словам авторов The Insider, являются служащими войсковой части ГРУ № 26165. 

«Иногда эти письма были довольно примитивными и пытались имитировать предупреждения от Gmail о хакерской атаке с предложением поменять пароль. Но ради некоторых из своих мишеней ГРУшники прикладывали много дополнительных усилий. Однажды они даже написали проект фейкового законопроекта украинской Рады (правда с ошибками в языке) и разослали его под видом документа, который попал в руки журналистов», – говорится в сообщении.

О хакерских атаках на сотрудников Bellingcat стало известно в конце июля. Тогда злоумышленникам, как было заявлено, так и не удалось получить ни одного пароля от электронной почты.