MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
@state.gov — фальшивка. Но мы не проверяем то, во что привыкли верить.
Группа провела тщательно спланированную атаку на пользователей Gmail, сумев обойти и получить несанкционированный доступ к аккаунтам. Целью операции стали известные эксперты в области международной безопасности и политологии — в частности, исследователи, занимающиеся вопросами дезинформации и кибервлияния.
Злоумышленники использовали нетипичную и в высшей степени изощрённую тактику . Вместо стандартных массовых рассылок с или срочными требованиями, в этой кампании применялись персонализированные письма, оформленные в официальном стиле и отправленные якобы от имени сотрудников Госдепартамента США.
С апреля по начало июня хакеры вели переписку с целью убедить жертв создать и передать так называемый app-specific password — уникальный одноразовый пароль для доступа к аккаунту Google, предназначенный для использования в сторонних приложениях и позволяющий обойти двухфакторную защиту. Под предлогом подключения к защищённой платформе для проведения онлайн-встреч злоумышленники добивались того, чтобы собеседник передал этот код добровольно.
Такой пароль генерируется вручную в настройках безопасности Google и применяется для подключения устаревших или менее защищённых программ, например, старых почтовых клиентов. Он действует как постоянный ключ доступа и не требует подтверждения входа через дополнительный код. Оказавшись в распоряжении атакующих, этот код предоставляет им полный контроль над содержимым ящика, включая письма, документы, вложения и переписку.
Киберпреступники, отслеживаемые Google под именем UNC6293, по всей видимости, действуют под покровительством спецслужб. Исследователи связывают их с известной группировкой , также известной как , Cozy Bear или Midnight Blizzard. Эта структура активно работает с 2008 года, специализируясь на атаках на правительственные учреждения, научные центры и аналитические организации по всему миру.
Один из подробно задокументированных эпизодов произошёл с , британским аналитиком и специалистом по информационным операциям России. Он получил письмо от некой Клоди С. Вебер — якобы сотрудницы Госдепа — с предложением присоединиться к закрытой онлайн-дискуссии. Хотя сообщение пришло с обычного Gmail-адреса, в копии были указаны домены @state.gov, что создавало иллюзию официальной переписки.
Дополнительная проверка показала: ни Вебер, ни указанные адреса не имеют отношения к Госдепу. Эксперты Citizen Lab предполагают, что злоумышленники воспользовались особенностями почтового сервера ведомства, который принимает сообщения на несуществующие адреса, не отправляя уведомлений об ошибке. Благодаря этому в рассылке можно указать любые якобы официальные адреса — и они не вызовут подозрений.
Переписка между хакером и жертвой велась на протяжении нескольких дней. В одном из писем, после обмена уточняющими сообщениями, Джайлсу предложили зарегистрироваться на платформе MS DoS Guest Tenant. Это якобы облегчало бы участие в будущих мероприятиях, независимо от времени их проведения.
После того как жертва согласилась, ей был отправлен PDF-файл с пошаговой инструкцией по созданию app-specific password в Google-аккаунте. Далее предлагалось передать полученный код администраторам системы для завершения регистрации в платформе.
Мотивировка выглядела логичной: в документе объяснялось, что это стандартная процедура подключения внешнего пользователя Gmail к платформе Госдепа, позволяющая организовать безопасную связь без необходимости предоставления основных учётных данных.
На практике же передача app-specific password позволяла злоумышленникам получить неограниченный доступ к аккаунту. При этом все действия происходили в рамках «официальной» процедуры, и у жертвы не возникало оснований заподозрить обман.
Специалисты выяснили, что подобных атак было как минимум две. В одной фигурировали темы, связанные с Госдепартаментом США, в другой — упоминания о Microsoft и Украине. Во всех случаях использовались виртуальные серверы и резидентные прокси, включая IP-адрес 91.190.191[.]117, позволяющий замаскировать реальное происхождение подключения.
Обе кампании отличались высоким уровнем детализации: поддельные документы, аккуратно оформленные письма, ложные личности — всё было рассчитано на максимальное доверие. Хакеры уделяли внимание каждой мелочи, чтобы их сообщения выглядели максимально правдоподобно. Как показывают исследования, становится всё более эффективным инструментом киберпреступников.
Целями становились люди, вовлечённые в чувствительные международные процессы — от политических консультантов до участников правозащитных инициатив. Злоумышленники не просто взламывали аккаунты — они системно охотились за информацией, имеющей стратегическую ценность.
В качестве надёжной меры защиты Google советует активировать программу Advanced Protection. Этот режим повышенной безопасности полностью исключает возможность использования app-specific password и требует дополнительной аппаратной аутентификации при входе. Он предназначен именно для тех пользователей, которые могут стать объектом целевых атак со стороны профессиональных группировок. Эксперты также рекомендуют внимательно изучать , чтобы лучше распознавать подобные угрозы.
Группа провела тщательно спланированную атаку на пользователей Gmail, сумев обойти и получить несанкционированный доступ к аккаунтам. Целью операции стали известные эксперты в области международной безопасности и политологии — в частности, исследователи, занимающиеся вопросами дезинформации и кибервлияния.
Злоумышленники использовали нетипичную и в высшей степени изощрённую тактику . Вместо стандартных массовых рассылок с или срочными требованиями, в этой кампании применялись персонализированные письма, оформленные в официальном стиле и отправленные якобы от имени сотрудников Госдепартамента США.
С апреля по начало июня хакеры вели переписку с целью убедить жертв создать и передать так называемый app-specific password — уникальный одноразовый пароль для доступа к аккаунту Google, предназначенный для использования в сторонних приложениях и позволяющий обойти двухфакторную защиту. Под предлогом подключения к защищённой платформе для проведения онлайн-встреч злоумышленники добивались того, чтобы собеседник передал этот код добровольно.
Такой пароль генерируется вручную в настройках безопасности Google и применяется для подключения устаревших или менее защищённых программ, например, старых почтовых клиентов. Он действует как постоянный ключ доступа и не требует подтверждения входа через дополнительный код. Оказавшись в распоряжении атакующих, этот код предоставляет им полный контроль над содержимым ящика, включая письма, документы, вложения и переписку.
Киберпреступники, отслеживаемые Google под именем UNC6293, по всей видимости, действуют под покровительством спецслужб. Исследователи связывают их с известной группировкой , также известной как , Cozy Bear или Midnight Blizzard. Эта структура активно работает с 2008 года, специализируясь на атаках на правительственные учреждения, научные центры и аналитические организации по всему миру.
Один из подробно задокументированных эпизодов произошёл с , британским аналитиком и специалистом по информационным операциям России. Он получил письмо от некой Клоди С. Вебер — якобы сотрудницы Госдепа — с предложением присоединиться к закрытой онлайн-дискуссии. Хотя сообщение пришло с обычного Gmail-адреса, в копии были указаны домены @state.gov, что создавало иллюзию официальной переписки.
Дополнительная проверка показала: ни Вебер, ни указанные адреса не имеют отношения к Госдепу. Эксперты Citizen Lab предполагают, что злоумышленники воспользовались особенностями почтового сервера ведомства, который принимает сообщения на несуществующие адреса, не отправляя уведомлений об ошибке. Благодаря этому в рассылке можно указать любые якобы официальные адреса — и они не вызовут подозрений.
Переписка между хакером и жертвой велась на протяжении нескольких дней. В одном из писем, после обмена уточняющими сообщениями, Джайлсу предложили зарегистрироваться на платформе MS DoS Guest Tenant. Это якобы облегчало бы участие в будущих мероприятиях, независимо от времени их проведения.
После того как жертва согласилась, ей был отправлен PDF-файл с пошаговой инструкцией по созданию app-specific password в Google-аккаунте. Далее предлагалось передать полученный код администраторам системы для завершения регистрации в платформе.
Мотивировка выглядела логичной: в документе объяснялось, что это стандартная процедура подключения внешнего пользователя Gmail к платформе Госдепа, позволяющая организовать безопасную связь без необходимости предоставления основных учётных данных.
На практике же передача app-specific password позволяла злоумышленникам получить неограниченный доступ к аккаунту. При этом все действия происходили в рамках «официальной» процедуры, и у жертвы не возникало оснований заподозрить обман.
Специалисты выяснили, что подобных атак было как минимум две. В одной фигурировали темы, связанные с Госдепартаментом США, в другой — упоминания о Microsoft и Украине. Во всех случаях использовались виртуальные серверы и резидентные прокси, включая IP-адрес 91.190.191[.]117, позволяющий замаскировать реальное происхождение подключения.
Обе кампании отличались высоким уровнем детализации: поддельные документы, аккуратно оформленные письма, ложные личности — всё было рассчитано на максимальное доверие. Хакеры уделяли внимание каждой мелочи, чтобы их сообщения выглядели максимально правдоподобно. Как показывают исследования, становится всё более эффективным инструментом киберпреступников.
Целями становились люди, вовлечённые в чувствительные международные процессы — от политических консультантов до участников правозащитных инициатив. Злоумышленники не просто взламывали аккаунты — они системно охотились за информацией, имеющей стратегическую ценность.
В качестве надёжной меры защиты Google советует активировать программу Advanced Protection. Этот режим повышенной безопасности полностью исключает возможность использования app-specific password и требует дополнительной аппаратной аутентификации при входе. Он предназначен именно для тех пользователей, которые могут стать объектом целевых атак со стороны профессиональных группировок. Эксперты также рекомендуют внимательно изучать , чтобы лучше распознавать подобные угрозы.
