Раздел Технологии выходит при поддержке
Как можно хакнуть многофакторную аутентификацию Gmail? Доступ из приложений плюс социальная инженерия.
Хакеры из россии выдавали себя за представителей Государственного департамента США, их мишенью стали известные ученые и критики россии. Атака осуществлена с помощью техники «сложной и персонализированной социальной инженерии», как сообщает BleepingComputer.
Между апрелем и началом июня хакеры рассылали тщательно разработанные фишинговые сообщения, целью которых было убедить получателей создать пароли для приложений и поделиться ими. Эти программы, в свою очередь, предоставляли доступ к учетным записям Google. Таким образом обходилась двухфакторная аутентификация (2FA), поскольку пользователи сами предоставили приложению доступ к Gmail.
Исследователи безопасности из Google Threat Intelligence Group (GTIG) отследили киберпреступника, известного как UNC6293. Они считают, что хакер спонсирован российским государством и может быть связан с группой APT29, управляемой службой внешней разведки россии. Она также известна под названиями NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard и работает по меньшей мере с 2008 года. Ее целями являются правительственные сети, исследовательские институты и аналитические центры.
Исследовательская группа The Citizen Lab расследовала инцидент фишинговой кампании UNC6293, направленной против эксперта по информационным операциям Кира Джайлза. Атака началась с электронного письма, подписанного Клоди С. Вебер, якобы из Государственного департамента США, в котором Джайлза пригласили на «частный онлайн-разговор».
Хотя сообщение поступило из учетной записи Gmail, в строке копий присутствуют несколько адресов электронной почты @state.gov, в частности адрес Клоди С. Вебер, что придает письму более официальный вид. Исследователи не нашли никакой Клоди С. Вебер в Госдепе.
«Мы считаем, злоумышленник знает, что почтовый сервер Государственного департамента, очевидно, настроен на прием всех сообщений и не отправляет уведомления об отказе, даже если адрес не существует», — говорят в The Citizen Lab
После нескольких электронных писем Джайлз выразил заинтересованность, но сообщил, что может быть недоступен в указанный день. Тогда злоумышленник пригласил его присоединиться к платформе Государственного департамента «MS DoS Guest Tenant», «что позволит легко посещать будущие встречи, независимо от того, когда они состоятся».
Джайлз согласился и получил PDF-файл с подробным описанием того, как создать пароль для некоего приложения с доступом к учетной записи Google, который якобы был необходим для регистрации гостевого пользователя на платформе.
Код доступа к приложению должен был быть передан «администраторам DoS в США для добавления внешнего пользователя в гостевой арендатор O365». Это объяснялось в инструкциях по альтернативному решению, которое якобы обеспечивает безопасную связь через платформу между сотрудниками DoS в США и внешними пользователями с учетными записями Gmail.
Психологически цель считает, что создает и делится паролем приложения для безопасного доступа к платформе Государственного департамента. На самом деле она предоставляет злоумышленнику полный доступ к своей учетной записи Google.
С апреля по июнь GTIG обнаружила две кампании, одна из которых опиралась на темы, связанные с Госдепом, а другая использовала приманки, связанные с Украиной и Microsoft. Обе кампании имели в инфраструктуре резидентные прокси-серверы и виртуальные приватные серверы, что позволяло злоумышленнику оставаться анонимным при входе в скомпрометированные учетные записи.
Кампании социальной инженерии, которые наблюдали The Citizen Lab и GTIG, были искусно разработаны и опирались на многочисленные фальшивые личности, учетные записи и другие данные и способы для создания иллюзии правдоподобия. Чтобы защититься от опытных злоумышленников, Google рекомендует зарегистрироваться в Программе расширенной защиты, которая повышает меры безопасности учетной записи и не позволяет создавать пароль для подобных приложений или входить в систему без логина.
Раздел Технологии выходит при поддержке
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
