Журналисты, правозащитные организации, оппозиционеры и американские политики стали целью сложной фишинговой атаки на гражданский сектор продолжительностью более полутора лет. Одна из двух участвующих в атаке группировок связана с ФСБ. Сейчас известно о более чем 10 целях нападения. Среди них – «Проект», «Первый отдел», бывший посол США в Украине Стивен Пфайфер. Однако эксперты полагают, что реальное число целей может быть больше.
Главное. «С точки зрения фишинга, это была одна из наиболее изощренных кампаний, нацеленных на российское гражданское общество», – сказал «Агентству» Джон Скотт-Рейлтон, старший исследователь в Citizen Lab. «В гражданском секторе такого еще не было», – еще более категоричен глава «Первого отдела» Дмитрий Заир-Бек.
- Лаборатория Citizen Lab в среду обнародовала результаты расследования, которое провела совместно с Access Now при участии «Первого отдела», а также группы Arjuna Team и RESIDENT.ngo. Участники расследования пришли к выводу, что не позднее конца 2021 года поддерживаемые российскими властями хакеры запустили фишинговую атаку, чьей целью стали правозащитные организации, в том числе из США и ЕС, сотрудники российских независимых изданий, оппозиционеры и по крайней мере один западный дипломат. Атака направлена против структур из России, Беларуси и Украины.
- Больше 10 организаций подверглись атакам, в некоторых случаях одну организацию атаковали несколько раз, сказала «Агентству» представитель Access Now Наталья Крапива. Число известных атак – двузначное число, уточнил Дмитрий Заир-Бек.
- Нельзя точно назвать начало кампании, уточняет Дмитрий Заир-Бек. Он допускает, что фишинговые атаки были и до первого известного случая – в конце 2022 года. В этом году число атак в рамках этой кампании выросло кратно, сказал эксперт.
- Часть атак была осуществлена хакерской группировкой Coldriver (другие названия Star Blizzard, Callisto), связываемой с ФСБ и активизировавшейся после начала войны. Часть атак имела другой почерк, поэтому эксперты предположили, что за ней может стоять другая группа хакеров, которую они назвали Coldwastrel. С какой российской спецслужбой связана эта группировка, расследователи выяснить не смогли.
- Атаки связанной с ФСБ Coldriver готовятся более тщательно, чем атаки Coldwastrel. Последняя пересылает жертвам файлы с ссылкой на один и тот же домен, тогда как Coldriver использует каждый раз разные домены. Кроме того, Coldriver использует другую версию PDF, а в качестве автора в описании файлов Coldwastrel указан «Пользователь», тогда как Coldriver указывал правдоподобные англоязычные имена.
- Из подвергшихся атаке лишь «Проект», «Первый отдел» и посол США Стивен Пфайфер решили рассказать об этом.
Атака на «Проект» (как и «Агентство», основан Романом Баданиным) началась в ноябре прошлого года, когда издатель Полина Махольд получила письмо от бывшего партнера. В нем партнер предложил новую идею и переслал файл в формате PDF. Этот документ не открылся с помощью встроенных в почтовые сервисы Gmail и Protonmail расширений сервисов Google Drive и Proton Drive. В последнем случае при попытке открыть файл на экране появилось уведомление с предложением продолжить работу непосредственно в Proton Drive, перейдя по ссылке.
- Лишь в последний момент Полина Махольд заметила, что url «облачного» хранилища не совпадал с реальным названием домена Proton Drive. Это был фишинговый сайт, а введение личных данных на этой странице привело бы к их потере. «Проект» избежал взлома.
- Не принадлежал деловому партнеру «Проекта» и ящик, с которого пришло письмо. Он был похож на реальный почтовый адрес, но заведен не на корпоративном почтовом сервисе, а на Protonmail. Сначала сотруднику «Проекта» показалось логичным, что у партнера есть другой ящик на сервисе, который считается безопасным, однако в итоге это оказалось уловкой хакеров.
Картина целиком. По похожей схеме работали хакеры и в других случаях. В конце 2022 года после атаки на почту сотрудника «Первого отдела» на том же Protonmail был создан ящик, немного отличающийся от реального адреса сотрудника «Первого отдела». С него рассылались письма с PDF-файлом и ссылкой на фишинговую страницу.
- Бывший посол США в Украине Стивен Пайфер был также вовлечен в коммуникацию с якобы другим бывшим американским послом. В сообщении Citizen Lab не уточняется, от чьего имени велась переписка. Однако сразу два бывших американских дипломата – экс-посол в Москве Майкл Макфол и экс-координатор санкционной политики в администрации Барака Обамы Дэниел Фрид – публиковали в своих аккаунтах в X (бывший Twitter) призывы не отвечать на письма, которые приходят с адресов на Proton. Но было ли это частью кампании, экспертам установить не удалось, поскольку они не смогли получить доступ к письмам, рассылаемым с этих адресов.
- По крайней мере в двух случаях, по данным «Агентства», были атакованы менеджеры, занимающиеся финансами в проектах, что может свидетельствовать о том, что выбор целей атаки не был случайным. Citizen Lab пишет, что среди целей атаки были грантодатели.
- Для взлома использовались сообщения двух типов. В первом случае отправляемое жертве электронное письмо имитировало рассылаемое Google Drive автоматическое уведомление о том, что для пользователя открыт документ, созданный на этом сервисе.
- Во втором случае сообщения создавалось специально под взламываемого пользователя. При этом учитывались данные, полученные об этом пользователе, в том числе, судя по всему, и из почтовых ящиков, к которым злоумышленники получили доступ ранее. В ходе переписки использовались различные практики социального инжиниринга: хакер мог «забывать» сразу прикрепить документ с фишинговой ссылкой, досылать ссылку на документ отдельно, долго не отвечать и т.д. При попытке открытия документа цель атаки видела уведомление о том, что документ невозможно открыть встроенными в почту расширениями Google Drive и Proton Drive, после чего жертве предлагали открыть якобы сайты этих сервисов (а на самом деле фишинговые страницы) и уже с их помощью происходило похищение личных данных.
Итоги кампании. Некоторые атаки оказались успешными, сказал Дмитрий Заир-Бек. Однако он затруднился назвать более точную цифру, поскольку большинство подвергшихся нападению организации не готовы говорить об этом. По его мнению, «совершенно не стыдно» говорить об этом открыто, поскольку против гражданского сектора выступает «неравный противник». Эксперт призвал всех, кто столкнулся с атаками, обратиться в Citizen Lab, Access Now или «Первый отдел»
- Пока сложно сказать, с какой конкретно целью похищались данные. В «Первом отделе» считают, что это продолжение атак спецслужб на российский гражданский сектор, а конкретной целью кампании могла быть попытка запугать, помешать финансированию или объединить для дальнейшего преследования проекты, оппонирующие действующим российским властям.
Подробнее в отчетах Citizen Lab и Access Now, а также видео «Первого отдела».
Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook