The Insider и Bellingcat рассказали о хакерских атаках со стороны российских спецслужб

Общество

3
 

Сотрудники издания The Insider и расследовательской группы Bellingcat, подверглись фишинговой атаке cо стороны российских спецслужб, утверждает The Insider. 

По данным расследователей, атаки начались приблизительно в конце апреля и имели несколько волн. В начале месяца хакеры зарегистрировали 11 доменных имен для маскировки атак под письма сервиса ProtonMail, подтвердила его администрация. Там отметили, что атака не была успешной из-за бдительности сотрудников Bellingcat и самого сервиса.

Расследовательская группа и The Insider выяснили, что атака производилась с нескольких адресов, а письма представляли собой фейковые предупреждения от ProtonMail о взломе аккаунтов или подозрительных попытках входа в них. 

При этом в графе «отправитель» отображалась действительная почта сервиса, но при ответе на письмо можно было обнаружить, что сообщения приходили с бесплатного почтового сервиса mail.uk, отметили расследователи. Однако как минимум одно из сообщений было отправлено с ящика Protonmail.

Текст писем был похож на настоящее предупреждения ProtonMail, говорится в расследовании. В них были гиперссылки, перейдя по которым человек должен был открыть настройки и поменять пароль. Расследователи рассказали, что вместе с ними атакам подверглись не менее десяти российских, американских и европейских журналистов, говорится в расследовании.

В ProtonMail объяснили, что скрипты фейковых доменов синхронизировались с реальным доменом сервиса. В теории это могло бы позволить обходить двухфакторную идентификацию, но неизвестно, использовали ли данный прием хакеры, отметили в компании. 

The Insider и Bellingcat отметили, что некоторые из адресатов фишинговых писем ProtonMail уже получали фейковые сообщения от группы хакеров известной как APT 28, Fancy Bear или Pawn Storm, которую связывают с Главным разведывательным управлением Минобороны. Для покупки доменов хакеры использовали сервисы Njalla и Web4Africa. Эксперты в области по кибербезопасности нашли сайт, использованный хакерами для создания клона ProtonMail. 

Сейчас расследованием атак на журналистов занимаются голландские и французские правоохранители, потому что хакеры использовали IP-адреса этих стран, рассказали расследователи.

В прошлом году министр иностранных дел Великобритании Джереми Хант обвинил российскую разведку в том, что ее представители стоят за кибератаками по всему миру. По данным Национального центра кибербезопасности (NCSC), 12 хакерских групп, в том числе Fancy Bear, служили прикрытием для деятельности российской военной разведки.

Добавьте новости «Новой» в избранное и Яндекс будет показывать их выше остальных

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google ChromeFirefoxOpera