Jedan profesionalni hakerski tim povezan sa ruskom vladom razotkriven je kako koristi novu, suptilnu fišing tehniku koja zaobilazi dvofaktorsku autentifikaciju iskorišćavajući manje poznatu Google funkciju „lozinki specifičnih za aplikacije”.
Prema dokumentaciji Google-ove Grupe za obavještavanje o prijetnjama (Threat Intelligence Group), operacija je trajala od aprila do početka juna, a hakeri su se predstavljali kao zvaničnici američkog Stejt departmenta u email prepiskama na savršenom engleskom jeziku, uključujući i četiri lažne kolege sa adresama koje završavaju na @state.gov.
Google označava ovu grupu kao UNC6293 i vjeruje da je povezana sa APT29, ruskom obavještajnom jedinicom odgovornom za upad u sistem Demokratskog nacionalnog komiteta 2016. godine. Istražitelji procjenjuju da su članovi grupe sedmicama pripremali svaku metu prije nego što bi poslali detaljna uputstva o ASP (lozinke specifične za aplikacije) funkciji.
Jedna od žrtava, britanski pisac Keir Giles iz instituta Chatham House, razmijenio je više od 10 emailova sa osobom koja se predstavljala kao „Claudie S. Weber”. Poruke su stizale tokom radnog vremena u Vašingtonu i koristile email adrese koje nisu odbijale poruke.
Nakon što je putem prepiske izgrađeno povjerenje, Google navodi da je prevarant poslao šestostrani PDF dokument sa lažnim zaglavljem Stejt departmenta, u kome je meta bila upućena da posjeti Google podešavanja naloga, generiše 16-znamenkastu lozinku specifičnu za aplikaciju označenu kao „ms.state.gov”, i pošalje je nazad putem emaila „radi završetka bezbjednog onboardinga”.
Pomoću tog koda, hakeri su stekli trajni pristup Gmail nalozima meta bez potrebe za MFA (višefaktorskom autentifikacijom).
Citizen Lab, koji je na zahtjev Gilesa analizirao navedeni fišing mamac, naveo je da u emailovima i PDF dokumentu nije bilo uobičajenih jezičkih grešaka koje se često viđaju u fišing kampanjama. Istraživači sumnjaju da su alati bazirani na generativnoj vještačkoj inteligenciji korišćeni za dotjerivanje jezika kako bi se izbjegla sumnja.
„Ovo je bio visoko sofisticiran napad, koji je zahtijevao pripremu brojnih lažnih identiteta, naloga, materijala i elemenata obmane. Napadač je bio očigledno pedantan, do te mjere da bi i veoma pažljiv korisnik teško primijetio nešto neuobičajeno ili sumnjivo,” naveli su istraživači iz Citizen Laba.
Google je povezao slučaj Gilesa sa drugim talasom napada fokusiranim na teme vezane za Ukrajinu. U oba slučaja, napadači su prijavljivanje obavljali putem iste IP adrese rezidencijalnog proksija i povremeno koristili isti čvor za različite žrtve.
Tehnološki gigant je saopštio da je opozvao sve ukradene lozinke koje je identifikovao, zaključao pogođene naloge i obavijestio dodatne mete.
Google i Citizen Lab savjetuju osobama visokog profila da se prijave za Google-ovu funkciju Napredne zaštite (Advanced Protection) i da izvrše reviziju naloga radi provjere eventualnih preostalih ASP lozinki.
Izvor: SecurityWeek
