The Insider журналистері Ресейдің ГРУ хакерлерінің шабуылы туралы хабарлады

The Insider басылымының журналистері Bellingcat тергеу ұйымындағы әріптестерінен кейін фишингтік шабуыл туралы мәлімдеді. Басылым бұл жайлы өз сайтында хабарлады. Хабарламада басты күдік Мемлекеттік барлау тобына (ГРУ) түсіп отыр деген болжам бар.

Сайтта хакерлердің нысанасында Ресей, Еуропа және АҚШ-тың КЕҰ-ның кем дегенде он журналисі мен қызметкері болды. Шабуылдар болжам бойынша 2019 жылдың сәуір айының соңында басталды.

Кішігірім тергеу нәтижесінде оқиғаға қатысты бірнеше дерек пайда болды. Хабарламада:

«Сәуір айының басында хакерлер ProtonMail қызметінің хаттарының атынан шабуыл жасау үшін 11 домендік атауды тіркеді. Олардың ішінде 26 сәуірден бастап шілденің соңына дейін (The Insider және Bellingcat шабуылды тіркеген кезде) бес доменді қолданып үлгерді. Threat Connect компаниясының киберқауіпсіздік жөніндегі сарапшылары бір уақытта тіркелген алты домендік атауды анықтады» деп жазылған. 

ProtonMail-дан  аккаунтты рұқсатсыз бұзып кіру туралы жалған фишинг ескертулер жіберілді. Фишингтік хаттардың мазмұны мен рәсімделуі ProtonMail-дың хаттарына  өте ұқсас . Хаттың мазмұны бойынша қолданушы сілтемеден өтіп, аккаунтын «қорғау» үшін құпиясөзді өзгерту керек еді.

Сілтемеден өту арқылы пайдаланушы ProtonMail сайтының дәл көшірмесі фишингтік сайтқа кіріп, құпиясөзін жазады. Осы уақытқа дейін хакерлер қандай да бір пошта жәшігінің мазмұнына қолжеткізгені жайлы нақты ақпарат жоқ. Алайда, хакерлер  шабуыл объектісі қандай пошта мекенжайымен хат алмасқанын анықтай алды.

Proton Mail басшылығы бұл шабуылды компания тарихында ең «тапқыр» деп атады. Сондай-ақ, жалған домендердің скрипттері ProtonMail нақты доменімен синхрондалғанын атап өтті. Теория жүзінде бұл екі факторлы аутентификацияны айналып өтуге мүмкіндік берер еді (яғни, егер пайдаланушы фишинг сайтында екінші фактордың кодын енгізсе, осы код автоматты түрде шын сайтта да енгізілер еді). Дегенмен, хакерлер бұл тәсілді қолданғаны белгісіз.

Басылым бұл шабуылды неліктен Ресей МБТ-нан күдіктеніп отырғанын түсіндірді. Бұған дейін ProtonMail фишинг хаттарын алушылардың кейбірі APT28/FancyBear/PawnStorm ретінде танымал хакерлер тобынан мұндай хат алған еді. The Insider авторларының айтуынша, бұл топтың мүшелері № 26165 МБТ әскери бөлімінің қызметкерлері. Хабарламада:

«Кейде құпия сөзді өзгерту ұсынысымен қарапайым хаттар келетін еді, алаяқтар  Gmail ескертулеріне еліктеуге тырысты. Бірақ, кейбір құрбандары үшін  МБТ-лықтар  көп қосымша күш салды» деп жазылған.