Госхакеры организовали фишинговую атаку на журналистов с адресов ProtonMail

Объектами интереса злоумышленников стали не менее десяти журналистов, в том числе изданий The Insider и Bellingcat, а также сотрудники НКО из России, Европы и США.  

Журналисты The Insider и Bellingcat стали объектами наиболее изощренной из всех последних фишинговых атак ГРУ. Вместе с ними среди целей оказались не менее десяти других журналистов и сотрудников НКО из России, Европы и США. Атаки имели несколько волн и начались примерно в конце апреля 2019 года.

В начале апреля хакеры зарегистрировали 11 доменных имен для того, чтобы маскировать атаки под письма ProtonMail. Факт фишинга подтвердила администрация швейцарского защищённого почтового сервиса ещё в конце июля текущего года — по её словам, атака не увенчалась успехом из-за бдительности как самих журналистов Bellingcat, так и сервиса, который предпринял ряд мер для нейтрализации возникшей опасности.

Bellingcat и ProtonMail убеждены, что за фишинговой атакой стоят российские хакеры и ГРУ. Об инциденте уведомили швейцарское ведомство по компьютерной безопасности.

В ходе фиксации всех атак, начиная с конца апреля по конец июля, The Insider и Bellingcat выяснили, что атака шла с нескольких адресов, а рассылаемый фишинг представлял собой фейковые предупреждения от лица ProtonMail о подозрительных попытках входа или о взломе аккаунта.

В почте отправитель отображался обычно как support[@]protonmail.ch (действительный адрес ProtonMail), но реальными отправителями (его можно увидеть, например, если нажать «ответить на письмо») были аккаунты с бесплатного почтового сервисе mail.uk — kobi.genobi[@]mail[.]uk and notifysendingservice[@]mail[.]uk.

Текст фишинговых писем и по содержанию и по оформлению был очень похож на реальные предупреждения ProtonMail и содержал в себе гиперссылку, пройдя по которой пользователь должен был перейти в настройки, чтобы поменять пароль и «защитить» свой аккаунт.

Руководство ProtonMail назвало эту атаку наиболее изощренной из всех, с которыми приходилось сталкиваться компании. Также в компании пояснили, что скрипты фальшивых доменов были синхронизированы с реальным доменом ProtonMail, что в теории могло бы позволять обходить двухфакторную аутентификацию (то есть, если бы пользователь вводил код второго фактора на фишинговом сайте, этот же код автоматически вводился бы и на реальном). Правда, неизвестно, удалось ли хакерам использовать этот прием.

Попытка ввести журналистов в заблуждение была очень убедительной, однако никто из них не попался на удочку и не выдал свой пароль, подчеркнул журналист-расследователь Belligcat Кристо Грозев.

Грозев координировал расследование сети по делу об отравлении в марте 2018 года в Солсбери бывшего двойного агента Сергея Скрипаля. Именно журналисты Bellingcat выяснили тогда настоящие имена агентов Главного управления Генштаба вооруженных сил РФ (бывшее ГРУ) Александра Петрова и Руслана Боширова, предположительно стоящих за этим отравлением.

По словам Грозева, «нет никаких сомнений, что ответственность за хакерскую атаку несет военная разведка ГРУ». С ним согласен и начальник швейцарской компании-провайдера ProtonMail Энди Йен.