Объектами интереса злоумышленников стали не менее десяти журналистов, в том числе изданий The Insider и Bellingcat, а также сотрудники НКО из России, Европы и США.
Журналисты The Insider и Bellingcat стали объектами наиболее изощренной из всех последних фишинговых атак ГРУ. Вместе с ними среди целей оказались не менее десяти других журналистов и сотрудников НКО из России, Европы и США. Атаки имели несколько волн и начались примерно в конце апреля 2019 года.
В начале апреля хакеры зарегистрировали 11 доменных имен для того, чтобы маскировать атаки под письма ProtonMail. Факт фишинга подтвердила администрация швейцарского защищённого почтового сервиса ещё в конце июля текущего года — по её словам, атака не увенчалась успехом из-за бдительности как самих журналистов Bellingcat, так и сервиса, который предпринял ряд мер для нейтрализации возникшей опасности.
Bellingcat и ProtonMail убеждены, что за фишинговой атакой стоят российские хакеры и ГРУ. Об инциденте уведомили швейцарское ведомство по компьютерной безопасности.
В ходе фиксации всех атак, начиная с конца апреля по конец июля, The Insider и Bellingcat выяснили, что атака шла с нескольких адресов, а рассылаемый фишинг представлял собой фейковые предупреждения от лица ProtonMail о подозрительных попытках входа или о взломе аккаунта.
В почте отправитель отображался обычно как support[@]protonmail.ch (действительный адрес ProtonMail), но реальными отправителями (его можно увидеть, например, если нажать «ответить на письмо») были аккаунты с бесплатного почтового сервисе mail.uk — kobi.genobi[@]mail[.]uk and notifysendingservice[@]mail[.]uk.
Текст фишинговых писем и по содержанию и по оформлению был очень похож на реальные предупреждения ProtonMail и содержал в себе гиперссылку, пройдя по которой пользователь должен был перейти в настройки, чтобы поменять пароль и «защитить» свой аккаунт.
Руководство ProtonMail назвало эту атаку наиболее изощренной из всех, с которыми приходилось сталкиваться компании. Также в компании пояснили, что скрипты фальшивых доменов были синхронизированы с реальным доменом ProtonMail, что в теории могло бы позволять обходить двухфакторную аутентификацию (то есть, если бы пользователь вводил код второго фактора на фишинговом сайте, этот же код автоматически вводился бы и на реальном). Правда, неизвестно, удалось ли хакерам использовать этот прием.
Попытка ввести журналистов в заблуждение была очень убедительной, однако никто из них не попался на удочку и не выдал свой пароль, подчеркнул журналист-расследователь Belligcat Кристо Грозев.
Грозев координировал расследование сети по делу об отравлении в марте 2018 года в Солсбери бывшего двойного агента Сергея Скрипаля. Именно журналисты Bellingcat выяснили тогда настоящие имена агентов Главного управления Генштаба вооруженных сил РФ (бывшее ГРУ) Александра Петрова и Руслана Боширова, предположительно стоящих за этим отравлением.
По словам Грозева, «нет никаких сомнений, что ответственность за хакерскую атаку несет военная разведка ГРУ». С ним согласен и начальник швейцарской компании-провайдера ProtonMail Энди Йен.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.