Две хакерские группы организовали фишинговую атаку на активистов, а также сотрудников НКО, независимых СМИ и благотворительных фондов, в том числе российских и белорусских. Об этом говорится в совместном расследовании лаборатории Citizen Lab при Университете Торонто, организации по защите цифровых прав Access Now, проекта "Первый отдел", исследователей безопасности Arjuna Team и Resident.ngo.
Злоумышленники создавали поддельные электронные адреса ProtonMail, с которых отправлялись письма от имени знакомых людей или организаций. Как правило, сообщения содержали текст с просьбой просмотреть документ, имеющий отношение к работе. Например, речь могла идти о гранте или черновике статьи. Citizen Lab отмечает, что хакеры использовали персонализированный подход, поэтому некоторым получателям письма было сложно понять, что это фишинговое письмо, а фейковые почтовые адреса могли отличаться только одной буквой от настоящего.
В письмах были PDF-файлы, которые якобы были зашифрованы, а пользователю, чтобы открыть их нужно было зайти в свой аккаунт на Proton Drive или Google Drive. Если получатель письма переходил по ссылке и вводил свой пароль и код от двухфакторной аутентификации, то злоумышленники получали доступ к данным. Со взломанной почты хакеры могли направлять новые фишинговые письма другим целям.
Типичные фишинговые атаки, как отмечается, в основном ограничивались PDF-файлом, но было несколько случаев, когда злоумышленники отправляли электронное письмо, оформленное как общий доступ к документу, с фишинговой ссылкой, встроенной непосредственно в сообщение. В одном из случаев, когда хакерам не удалось получить данные, предполагают авторы исследования, они повторили попытку, но уже с помощью отправки PDF-файла.
В этой кампании принимали участие две хакерские группы COLDWASTREL и ColdRiver, также известная как Callisto Group. Последняя, по данным "Первого отдела", связана с Центром информационной безопасности ФСБ.
Первой известной целью одной из хакерских групп стал сам "Первый отдел", который уведомил об атаке, произошедшей в конце 2022 года, Access Now и Citizen Lab. Помимо правозащитного проекта, жертвами атак стали в частности бывший посол США в Украине Стивен Пайфер и издание "Проект".
Атака на "Проект" произошла в ноябре 2023 года, когда издатель "Проекта" Полина Махольд получила письмо от бывшего партнера, пишет "Агентство". В нем он предложил новую идею и переслал файл в формате PDF. Документ не открылся, а Protonmail предложил перейти по ссылке и продолжить работу в Proton Drive. В последний момент Махольд заметила, что url не совпадал с реальным доменом Proton Drive, в результате чего издание избежало взлома.
Хакеры после взлома могли получить всю переписку с рабочей почты, содержимое атакуемого хранилища, в том числе внутренние документы организации, а также содержимое аккаунтов на других сервисах, если там не было двухфакторной аутентификации.