Хакеры ФСБ годами проводили фишинговые атаки против правозащитных организаций - киберэксперты
Они взламывали почту, воровали личные данные, пароли и связи с другими организациями
Организации в сфере кибербезопасности Access Now и Citizen Lab опубликовали отчет о масштабной фишинговой атаке, жертвами которой стали российские, белорусские и украинские правозащитные организации, международные НПО, работающие в Восточной Европе, независимые СМИ, а также бывший посол США.
Как пишет The Insider, анализ охватывает две волны атаки: с 2022 по 2023 и в 2024 году.
Последнюю кампанию 2024 года, названную COLDRIVER, аналитики связывают с российской хакерской «группой Каллисто» (Callisto Group, также известной под именами Dancing Salome, SEABORGIUM, STAR BLIZZARD и TA446), подконтрольной ФСБ. Группа проводит кибератаки против военных, государственных учреждений, аналитических центров и журналистов в западных странах.
Наиболее распространенной моделью атак первой волны (2022–2023 годов) стала рассылка фишинговых писем из сломанных аккаунтов или из тех, чьи почтовые адреса почти не отличаются от адресов реальных людей (часто в адресе меняют только одну букву, чтобы жертва ничего не заметила).
Фишинговые атаки были персонализированы, тематика писем касалась повседневной работы человека, например запланированных мероприятий или финансовых вопросов.
В письмах обычно были прикреплены "заблокированные" PDF-файлы со ссылкой на разблокировку. При переходе по ссылке открывалась поддельная страница входа в почтовую систему Proton с формой для ввода логина и пароля. Если жертва вводила данные, они попадали в распоряжение злоумышленников.
В более поздних атаках использовалась альтернативная тактика: злоумышленники создали почтовый сервер с поддельными доменами, чтобы выдать себя за существующую организацию, атаки были направлены против реальных партнеров организаций и их коллег. Этот метод сочетался с использованием несколько видоизмененных email-адресов.
Жертвы атак занимаются правозащитной деятельностью в России и Украине, говорится в отчете. Злоумышленники использовали контекст деятельности, имеющий непосредственное отношение к работе, например, связанной с финансированием и предложениями по грантам.
Бекграунд. В конце июля сообщалось, что ГУР завершило одну из самых крупных кибератак на финсектор и правительственные ресурсы россии – хакеры получили большой массив конфиденциальных данных.
Если вы дочитали этот материал до конца, мы надеемся, это значит, что он был полезным для вас.
Мы работаем над тем, чтобы наша журналистская и аналитическая работа была качественной, и стремимся выполнять ее максимально компетентно. Это требует финансовой независимости.
Станьте подписчиком Mind всего за 196 грн в месяц и поддержите развитие независимой деловой журналистики!
Вы можете отменить подписку в любой момент в собственном кабинете LIQPAY, или написав нам по адресу: [email protected].
