Поддержать команду Зеркала
Беларусы на войне
  1. Эксперты проанализировали высказывания Путина о войне на прямой линии по итогам 2024 года — вот их выводы
  2. По госТВ сообщили о задержании «курьеров BYSOL». Его глава сказал «Зеркалу», что не знает такие фамилии (и это не все странное в сюжете)
  3. Что означает загадочный код R99 в причинах смерти Владимира Макея и Витольда Ашурка? Узнали у судмедэкспертки (спойлер: все прозаично)
  4. Кто та женщина, что постоянно носит шпица Умку во время визитов Лукашенко? Рассказываем
  5. Эксперты: Украина впервые провела «атаку роботов», а Путин пытается «подкупить» бывших участников войны
  6. Стало известно, кто был за рулем автомобиля, въехавшего в толпу на рождественской ярмарке Магдебурга. Число погибших выросло
  7. Погибли сотни тысяч людей. Рассказываем о самом смертоносном урагане в истории, который привел к падению диктатуры и развалу государства
  8. Россия обстреляла центральные районы Киева баллистическими ракетами, есть погибший и раненые
  9. Состоялся матч-реванш между Усиком и Фьюри. Кто победил
  10. «Киберпартизаны» получили доступ к базам с официальными причинами смерти беларусов. В ней есть данные о Макее, Зельцере и Ашурке
  11. В российской Казани беспилотники попали в несколько домов. В городе закрыли аэропорт, эвакуируют школы и техникумы
  12. Настоящую зиму можно пока не ждать. Прогноз погоды на 23−29 декабря


"Медиазона", Александр Бородихин,

Некоторое время назад беларусские и российские активисты и сотрудники некоммерческих организаций (НКО) подверглись масштабной фишинговой атаке. Совместное расследование об этом выпустили Citizen Lab при Университете Торонто и американская организация Access Now. Они пишут, что хакеры, связанные с ФСБ России, рассылали подставные письма с якобы рабочими файлами, представляясь знакомыми и коллегами жертв, чтобы те доверились письмам, подогнанным под известную (или предполагаемую) историю общения, и передали злоумышленникам данные своих почтовых аккаунтов. «Медиазона» коротко пересказывает, как взламывали правозащитников и как можно уберечься от подобных атак.

Изображение использовано в качестве иллюстрации. Фото: ukrinform.ru
Изображение использовано в качестве иллюстрации. Фото: ukrinform.ru

Исследователи из Citizen Lab при канадском Университете Торонто совместно с американской организацией Access Now изучили масштабную кампанию таргетированного фишинга, направленную на российских и беларусских активистов и сотрудников НКО, деятельность которых неугодна властям. Исследование было проведено при участии «Первого отдела», Arjuna Team, Resident.ngo и других некоммерческих организаций.

У этой атаки было три вектора, и не совсем понятно, как именно они были связаны между собой.

Письма со знакомых почт с подменой буквы

2022−2023. Осенью 2022 года жертвы начали получать электронные письма от сотрудника «известной российской общественной организации», вроде как «по работе» или в продолжение прошлых встреч. Сами письма были оформлены так, чтобы жертва не заметила подмены: хакеры писали с адресов, которые всего на одну букву отличались от настоящих. Сам человек, от имени которого рассылались письма, при этом тоже стал жертвой фишинговой атаки и вовсе потерял доступ к своей электронной почте.

Какое-то время эти попытки взлома некому было собрать воедино: расследование Access Now и Citizen Lab началось в марте 2023 года, когда правозащитники из российского «Первого отдела» рассказали специалистам по безопасности о странной фишинговой атаке. Жертвам рассылали PDF-файлы, при попытке открыть их пользователя перебрасывало на подменную логин-страницу в ProtonMail или ProtonDrive с фейковым адресом типа protondrive[.]online — там от них требовалось ввести логин и пароль.

Образец предварительного просмотра PDF-файла. Изображение: «Медиазона»
Образец предварительного просмотра PDF-файла. Изображение: «Медиазона»

Хакерам, стоявшим за этой атакой, исследователи дали кодовое название COLDWASTREL — «Холодные бродяги» в дословном переводе на русский. На то, что хакеры из России, указывают косвенные, хотя и не стопроцентные свидетельства: в метаданных PDF-файлов сохранились данные о московском часовом поясе и русском языке операционной системы создателя.

Образец поддельной страницы входа в ProtonMail. Изображение «Медиазона»
Образец поддельной страницы входа в ProtonMail. Изображение «Медиазона»

Хакеры тщательно маскируются под реальных собеседников

Первая половина 2024-го. Более масштабная и сложная по исполнению атака началась в 2024 году: в апреле–июне злоумышленники активно применяли методы социальной инженерии, маскируясь под знакомых своих жертв. Ссылки в рассылаемых PDF-файлах содержали скрипты, которые собирали информацию с устройства жертвы, чтобы залогиниться на фейковой странице могла только конкретная жертва; для затруднения исследований хакеры также приняли меры для минимизации следов в файлах.

Жертвами атак стали российские и беларусские НКО и независимые СМИ. Эксперты из Citizen Lab приписывают эту кампанию российской хакерской группировке COLDRIVER, также известной под кодовыми обозначениями Star Blizzard, Callisto и другими. Эту группу США и Великобритания считают связанной с Центром информационной безопасности (ЦИБ) ФСБ.

Август 2024-го. Незадолго до выхода расследования, уже в текущем августе, COLDWASTREL объявился вновь, рассылая PDF-файлы со ссылками на protondrive[.]me и protondrive[.]services. Об этом Access Now сообщила одна из организаций, которую уже пытались взломать прежде. В Citizen Lab считают, что эта группа хакеров отличается от COLDRIVER, потому что технически атака организована иначе, несмотря на сходство в подборе списка жертв.

Как можно себя обезопасить?

Связанные с властями взломщики использовали и будут использовать фишинговые методы, потому что они работают — даже несмотря на наличие в их арсенале более совершенных технических возможностей (тех же эксплойтов «уязвимостей нулевого дня», которые используются в разработках типа израильского Pegasus). Пока риск обнаружения остается низким, светить более дорогостоящие инструменты необязательно.

«Российские власти будут продолжать преследовать людей, которые, по их мнению, представляют угрозу независимо от того, где они находятся», — уверена старшая исследовательница из Citizen Lab Ребекка Браун. По ее словам, «в COLDRIVER было внесено достаточно технических изменений, чтобы оставаться незамеченными в течении продолжительного времени и продолжать работу».

Полностью обезопасить себя от получения таких писем невозможно — журналистам, правозащитникам и сотрудникам независимых организаций остается лишь соблюдать базовые правила безопасности.

  • Настройте двухфакторную аутентификацию. Да, хакеры из COLDRIVER и COLDWASTREL могут обманом вынудить жертву ввести код, но это первый, самый базовый шаг. Для организаций в зоне риска у почтовых сервисов есть специальные программы по усиленной защите от подложных имейлов.
  • Проверяйте все адреса входящих писем. Получили письмо, которого не ждали, — скопируйте его адрес и проверьте, была ли уже с ним переписка. Нет? Тогда есть смысл уточнить у самого человека, отправлял ли он вам письмо, — разумеется, не в почте, а другим способом.
  • Не открывайте ссылки. У Google и Microsoft есть встроенные просмотрщики — они покажут PDF-файлы без загрузки содержимого. Но если вы внутри документа кликнете по потенциально опасной ссылке, защитить вас эти компании уже не смогут.
  • Не логиньтесь нигде, кроме сайта самой почты. Перебросило на логин-страницу? Закройте.
  • Используйте менеджеры паролей. Они безопасно хранят сложные пароли и могут вводить пароли автоматически, проверяя, что форму запрашивает подлинный сайт.
  • Видите «превью зашифрованного PDF»? Такого не бывает, не открывайте.
  • Думаете, что вас пытаются взломать? Свяжитесь с Access Now, там помогут подтвердить или опровергнуть ваши подозрения.