Некоторое время назад беларусские и российские активисты и сотрудники некоммерческих организаций (НКО) подверглись масштабной фишинговой атаке. Совместное расследование об этом выпустили Citizen Lab при Университете Торонто и американская организация Access Now. Они пишут, что хакеры, связанные с ФСБ России, рассылали подставные письма с якобы рабочими файлами, представляясь знакомыми и коллегами жертв, чтобы те доверились письмам, подогнанным под известную (или предполагаемую) историю общения, и передали злоумышленникам данные своих почтовых аккаунтов. «Медиазона» коротко пересказывает, как взламывали правозащитников и как можно уберечься от подобных атак.
Исследователи из Citizen Lab при канадском Университете Торонто совместно с американской организацией Access Now изучили масштабную кампанию таргетированного фишинга, направленную на российских и беларусских активистов и сотрудников НКО, деятельность которых неугодна властям. Исследование было проведено при участии «Первого отдела», Arjuna Team, Resident.ngo и других некоммерческих организаций.
У этой атаки было три вектора, и не совсем понятно, как именно они были связаны между собой.
Письма со знакомых почт с подменой буквы
2022−2023. Осенью 2022 года жертвы начали получать электронные письма от сотрудника «известной российской общественной организации», вроде как «по работе» или в продолжение прошлых встреч. Сами письма были оформлены так, чтобы жертва не заметила подмены: хакеры писали с адресов, которые всего на одну букву отличались от настоящих. Сам человек, от имени которого рассылались письма, при этом тоже стал жертвой фишинговой атаки и вовсе потерял доступ к своей электронной почте.
Какое-то время эти попытки взлома некому было собрать воедино: расследование Access Now и Citizen Lab началось в марте 2023 года, когда правозащитники из российского «Первого отдела» рассказали специалистам по безопасности о странной фишинговой атаке. Жертвам рассылали PDF-файлы, при попытке открыть их пользователя перебрасывало на подменную логин-страницу в ProtonMail или ProtonDrive с фейковым адресом типа protondrive[.]online — там от них требовалось ввести логин и пароль.
Хакерам, стоявшим за этой атакой, исследователи дали кодовое название COLDWASTREL — «Холодные бродяги» в дословном переводе на русский. На то, что хакеры из России, указывают косвенные, хотя и не стопроцентные свидетельства: в метаданных PDF-файлов сохранились данные о московском часовом поясе и русском языке операционной системы создателя.
Хакеры тщательно маскируются под реальных собеседников
Первая половина 2024-го. Более масштабная и сложная по исполнению атака началась в 2024 году: в апреле–июне злоумышленники активно применяли методы социальной инженерии, маскируясь под знакомых своих жертв. Ссылки в рассылаемых PDF-файлах содержали скрипты, которые собирали информацию с устройства жертвы, чтобы залогиниться на фейковой странице могла только конкретная жертва; для затруднения исследований хакеры также приняли меры для минимизации следов в файлах.
Жертвами атак стали российские и беларусские НКО и независимые СМИ. Эксперты из Citizen Lab приписывают эту кампанию российской хакерской группировке COLDRIVER, также известной под кодовыми обозначениями Star Blizzard, Callisto и другими. Эту группу США и Великобритания считают связанной с Центром информационной безопасности (ЦИБ) ФСБ.
Август 2024-го. Незадолго до выхода расследования, уже в текущем августе, COLDWASTREL объявился вновь, рассылая PDF-файлы со ссылками на protondrive[.]me и protondrive[.]services. Об этом Access Now сообщила одна из организаций, которую уже пытались взломать прежде. В Citizen Lab считают, что эта группа хакеров отличается от COLDRIVER, потому что технически атака организована иначе, несмотря на сходство в подборе списка жертв.
Как можно себя обезопасить?
Связанные с властями взломщики использовали и будут использовать фишинговые методы, потому что они работают — даже несмотря на наличие в их арсенале более совершенных технических возможностей (тех же эксплойтов «уязвимостей нулевого дня», которые используются в разработках типа израильского Pegasus). Пока риск обнаружения остается низким, светить более дорогостоящие инструменты необязательно.
«Российские власти будут продолжать преследовать людей, которые, по их мнению, представляют угрозу независимо от того, где они находятся», — уверена старшая исследовательница из Citizen Lab Ребекка Браун. По ее словам, «в COLDRIVER было внесено достаточно технических изменений, чтобы оставаться незамеченными в течении продолжительного времени и продолжать работу».
Полностью обезопасить себя от получения таких писем невозможно — журналистам, правозащитникам и сотрудникам независимых организаций остается лишь соблюдать базовые правила безопасности.
- Настройте двухфакторную аутентификацию. Да, хакеры из COLDRIVER и COLDWASTREL могут обманом вынудить жертву ввести код, но это первый, самый базовый шаг. Для организаций в зоне риска у почтовых сервисов есть специальные программы по усиленной защите от подложных имейлов.
- Проверяйте все адреса входящих писем. Получили письмо, которого не ждали, — скопируйте его адрес и проверьте, была ли уже с ним переписка. Нет? Тогда есть смысл уточнить у самого человека, отправлял ли он вам письмо, — разумеется, не в почте, а другим способом.
- Не открывайте ссылки. У Google и Microsoft есть встроенные просмотрщики — они покажут PDF-файлы без загрузки содержимого. Но если вы внутри документа кликнете по потенциально опасной ссылке, защитить вас эти компании уже не смогут.
- Не логиньтесь нигде, кроме сайта самой почты. Перебросило на логин-страницу? Закройте.
- Используйте менеджеры паролей. Они безопасно хранят сложные пароли и могут вводить пароли автоматически, проверяя, что форму запрашивает подлинный сайт.
- Видите «превью зашифрованного PDF»? Такого не бывает, не открывайте.
- Думаете, что вас пытаются взломать? Свяжитесь с Access Now, там помогут подтвердить или опровергнуть ваши подозрения.