Один PDF от «Госдепа» — и у них вся ваша почта. Без взлома, без шума, без шансов
NewsMaker@state.gov — фальшивка. Но мы не проверяем то, во что привыкли верить.
Группа хакеров провела тщательно спланированную атаку на пользователей Gmail, сумев обойти двухфакторную аутентификацию и получить несанкционированный доступ к аккаунтам. Целью операции стали известные эксперты в области международной безопасности и политологии — в частности, исследователи, занимающиеся вопросами дезинформации и кибервлияния.
Злоумышленники использовали нетипичную и в высшей степени изощрённую тактику социальной инженерии . Вместо стандартных массовых рассылок с угрозами или срочными требованиями, в этой кампании применялись персонализированные письма, оформленные в официальном стиле и отправленные якобы от имени сотрудников Госдепартамента США.
С апреля по начало июня хакеры вели переписку с целью убедить жертв создать и передать так называемый app-specific password — уникальный одноразовый пароль для доступа к аккаунту Google, предназначенный для использования в сторонних приложениях и позволяющий обойти двухфакторную защиту. Под предлогом подключения к защищённой платформе для проведения онлайн-встреч злоумышленники добивались того, чтобы собеседник передал этот код добровольно.
Такой пароль генерируется вручную в настройках безопасности Google и применяется для подключения устаревших или менее защищённых программ, например, старых почтовых клиентов. Он действует как постоянный ключ доступа и не требует подтверждения входа через дополнительный код. Оказавшись в распоряжении атакующих, этот код предоставляет им полный контроль над содержимым ящика, включая письма, документы, вложения и переписку.
Киберпреступники, отслеживаемые Google под именем UNC6293, по всей видимости, действуют под покровительством спецслужб. Исследователи связывают их с известной группировкой APT29 , также известной как Nobelium , Cozy Bear или Midnight Blizzard. Эта структура активно работает с 2008 года, специализируясь на атаках на правительственные учреждения, научные центры и аналитические организации по всему миру.
Один из подробно задокументированных эпизодов произошёл с Киром Джайлсом , британским аналитиком и специалистом по информационным операциям России. Он получил письмо от некой Клоди С. Вебер — якобы сотрудницы Госдепа — с предложением присоединиться к закрытой онлайн-дискуссии. Хотя сообщение пришло с обычного Gmail-адреса, в копии были указаны домены @state.gov, что создавало иллюзию официальной переписки.
Дополнительная проверка показала: ни Вебер, ни указанные адреса не имеют отношения к Госдепу. Эксперты Citizen Lab предполагают, что злоумышленники воспользовались особенностями почтового сервера ведомства, который принимает сообщения на несуществующие адреса, не отправляя уведомлений об ошибке. Благодаря этому в рассылке можно указать любые якобы официальные адреса — и они не вызовут подозрений.
Переписка между хакером и жертвой велась на протяжении нескольких дней. В одном из писем, после обмена уточняющими сообщениями, Джайлсу предложили зарегистрироваться на платформе MS DoS Guest Tenant. Это якобы облегчало бы участие в будущих мероприятиях, независимо от времени их проведения.
После того как жертва согласилась, ей был отправлен PDF-файл с пошаговой инструкцией по созданию app-specific password в Google-аккаунте. Далее предлагалось передать полученный код администраторам системы для завершения регистрации в платформе.
Мотивировка выглядела логичной: в документе объяснялось, что это стандартная процедура подключения внешнего пользователя Gmail к платформе Госдепа, позволяющая организовать безопасную связь без необходимости предоставления основных учётных данных.
На практике же передача app-specific password позволяла злоумышленникам получить неограниченный доступ к аккаунту. При этом все действия происходили в рамках «официальной» процедуры, и у жертвы не возникало оснований заподозрить обман.
Специалисты Google Threat Intelligence Group выяснили, что подобных атак было как минимум две. В одной фигурировали темы, связанные с Госдепартаментом США, в другой — упоминания о Microsoft и Украине. Во всех случаях использовались виртуальные серверы и резидентные прокси, включая IP-адрес 91.190.191[.]117, позволяющий замаскировать реальное происхождение подключения.
Обе кампании отличались высоким уровнем детализации: поддельные документы, аккуратно оформленные письма, ложные личности — всё было рассчитано на максимальное доверие. Хакеры уделяли внимание каждой мелочи, чтобы их сообщения выглядели максимально правдоподобно. Как показывают исследования, адаптивный фишинг становится всё более эффективным инструментом киберпреступников.
Целями становились люди, вовлечённые в чувствительные международные процессы — от политических консультантов до участников правозащитных инициатив. Злоумышленники не просто взламывали аккаунты — они системно охотились за информацией, имеющей стратегическую ценность.
В качестве надёжной меры защиты Google советует активировать программу Advanced Protection. Этот режим повышенной безопасности полностью исключает возможность использования app-specific password и требует дополнительной аппаратной аутентификации при входе. Он предназначен именно для тех пользователей, которые могут стать объектом целевых атак со стороны профессиональных группировок. Эксперты также рекомендуют внимательно изучать методы социальной инженерии , чтобы лучше распознавать подобные угрозы.
Группа хакеров провела тщательно спланированную атаку на пользователей Gmail, сумев обойти двухфакторную аутентификацию и получить несанкционированный доступ к аккаунтам. Целью операции стали известные эксперты в области международной безопасности и политологии — в частности, исследователи, занимающиеся вопросами дезинформации и кибервлияния.
Злоумышленники использовали нетипичную и в высшей степени изощрённую тактику социальной инженерии . Вместо стандартных массовых рассылок с угрозами или срочными требованиями, в этой кампании применялись персонализированные письма, оформленные в официальном стиле и отправленные якобы от имени сотрудников Госдепартамента США.
С апреля по начало июня хакеры вели переписку с целью убедить жертв создать и передать так называемый app-specific password — уникальный одноразовый пароль для доступа к аккаунту Google, предназначенный для использования в сторонних приложениях и позволяющий обойти двухфакторную защиту. Под предлогом подключения к защищённой платформе для проведения онлайн-встреч злоумышленники добивались того, чтобы собеседник передал этот код добровольно.
Такой пароль генерируется вручную в настройках безопасности Google и применяется для подключения устаревших или менее защищённых программ, например, старых почтовых клиентов. Он действует как постоянный ключ доступа и не требует подтверждения входа через дополнительный код. Оказавшись в распоряжении атакующих, этот код предоставляет им полный контроль над содержимым ящика, включая письма, документы, вложения и переписку.
Киберпреступники, отслеживаемые Google под именем UNC6293, по всей видимости, действуют под покровительством спецслужб. Исследователи связывают их с известной группировкой APT29 , также известной как Nobelium , Cozy Bear или Midnight Blizzard. Эта структура активно работает с 2008 года, специализируясь на атаках на правительственные учреждения, научные центры и аналитические организации по всему миру.
Один из подробно задокументированных эпизодов произошёл с Киром Джайлсом , британским аналитиком и специалистом по информационным операциям России. Он получил письмо от некой Клоди С. Вебер — якобы сотрудницы Госдепа — с предложением присоединиться к закрытой онлайн-дискуссии. Хотя сообщение пришло с обычного Gmail-адреса, в копии были указаны домены @state.gov, что создавало иллюзию официальной переписки.
Дополнительная проверка показала: ни Вебер, ни указанные адреса не имеют отношения к Госдепу. Эксперты Citizen Lab предполагают, что злоумышленники воспользовались особенностями почтового сервера ведомства, который принимает сообщения на несуществующие адреса, не отправляя уведомлений об ошибке. Благодаря этому в рассылке можно указать любые якобы официальные адреса — и они не вызовут подозрений.
Переписка между хакером и жертвой велась на протяжении нескольких дней. В одном из писем, после обмена уточняющими сообщениями, Джайлсу предложили зарегистрироваться на платформе MS DoS Guest Tenant. Это якобы облегчало бы участие в будущих мероприятиях, независимо от времени их проведения.
После того как жертва согласилась, ей был отправлен PDF-файл с пошаговой инструкцией по созданию app-specific password в Google-аккаунте. Далее предлагалось передать полученный код администраторам системы для завершения регистрации в платформе.
Мотивировка выглядела логичной: в документе объяснялось, что это стандартная процедура подключения внешнего пользователя Gmail к платформе Госдепа, позволяющая организовать безопасную связь без необходимости предоставления основных учётных данных.
На практике же передача app-specific password позволяла злоумышленникам получить неограниченный доступ к аккаунту. При этом все действия происходили в рамках «официальной» процедуры, и у жертвы не возникало оснований заподозрить обман.
Специалисты Google Threat Intelligence Group выяснили, что подобных атак было как минимум две. В одной фигурировали темы, связанные с Госдепартаментом США, в другой — упоминания о Microsoft и Украине. Во всех случаях использовались виртуальные серверы и резидентные прокси, включая IP-адрес 91.190.191[.]117, позволяющий замаскировать реальное происхождение подключения.
Обе кампании отличались высоким уровнем детализации: поддельные документы, аккуратно оформленные письма, ложные личности — всё было рассчитано на максимальное доверие. Хакеры уделяли внимание каждой мелочи, чтобы их сообщения выглядели максимально правдоподобно. Как показывают исследования, адаптивный фишинг становится всё более эффективным инструментом киберпреступников.
Целями становились люди, вовлечённые в чувствительные международные процессы — от политических консультантов до участников правозащитных инициатив. Злоумышленники не просто взламывали аккаунты — они системно охотились за информацией, имеющей стратегическую ценность.
В качестве надёжной меры защиты Google советует активировать программу Advanced Protection. Этот режим повышенной безопасности полностью исключает возможность использования app-specific password и требует дополнительной аппаратной аутентификации при входе. Он предназначен именно для тех пользователей, которые могут стать объектом целевых атак со стороны профессиональных группировок. Эксперты также рекомендуют внимательно изучать методы социальной инженерии , чтобы лучше распознавать подобные угрозы.