Британские эксперты обнаружили кибератаку на чиновников России и соседних государств
Фишинговая атака проводилась на чиновников из России и нескольких соседних стран. Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры, в том числе МИДы, минфины и минэнергетики. Для фишинга использовалось сайт, имитирующий вход в служебную электронную почту
Британская компания по информационной безопасности Cyjax обнаружила масштабную атаку против сотрудников госорганов России и соседних государств. Хакеры создают сайты, имитирующие вход в электронную почту для чиновников, пишет «Коммерсантъ» со ссылкой на исследование компании. Эксперты приводят разные версии направленности атак — от политических провокаций до обычного фишинга данных.
Из исследования экспертов Cyjax следует, что фишинговая атака проводилась на чиновников из России и нескольких соседних стран. Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.
Компания проанализировала более 50 доменов этой схемы и выяснила, что они стали появляться с весны 2020 года. Сейчас активны 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран, сообщили в Cyjax. Эксперты пришли к выводу, что целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих. Вероятно, злоумышленники распространяют ссылки на эти страницы с помощью фишинговых рассылок, однако образцов подобных писем экспертам найти не удалось.
В РАН не ответили на запрос газеты. В Mail.ru рассказали, что мониторят появление фишинговых сайтов и мошеннических писем и «своевременно реагируют на подобные инциденты, включая те, что перечислены в отчете». В почте Mail.ru работает антиспам-система, которая адаптируется к новым сценариям спама, в том числе фишингового, рассказали в компании.
По данным директора экспертного центра безопасности Positive Technologies Алексея Новикова, злоумышленники обычно рассылают сотрудникам письма о том, что появился новый почтовый сервер, на котором нужно зарегистрироваться по ссылке. По его словам, получив логины и пароли, злоумышленники могут подключаться к почтовому ящику и конфиденциальным документам в письмах сотрудников. Хакеры могут использовать полученный доступ для дальнейшей атаки: отправить письмо с вредоносным вложением в адрес партнеров компании, добавил Новиков.
В Cyjax сочли, что с учетом отсутствия немедленной финансовой выгоды от атаки и направленности ее на Россию и соседние страны, за ней может стоять прогосударственная группировка. В марте 2021 года газета сообщала о рассылке фейковых писем якобы от госструктур, в которых содержалось вредоносное программное обеспечение. В октябре 2020 года компании по кибербезопасности предупреждали о целевых атаках на сотрудников госорганов хакерской группировки XDSpy. За атакой могут стоять и хакеры, продающие доступы на теневых форумах, допустили в Cyjax.
«Мотивом кампании может быть провокация против России на тему того, что мы взламываем своих соседей», — отметил сооснователь проекта StopPhish Юрий Другач. На провокацию указывает то, что некоторые из доменов зарегистрированы в июле, а серверы размещены на российском хостинге, объяснил он. Для фишинговых сайтов злоумышленники часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей, добавил Алексей Новиков. «Это позволяет им усложнить поиски владельца сайта», — указал он.
Другач отметил и разнородность атак, предположив, что за ними стоят несколько группировок. Например, сказал эксперт, у РАН шесть поддельных сайтов. На них хакеры не просто занимаются фишингом, но и устанавливают вредоносные дополнения в браузер, уточнил эксперт.