Хакеры используют социальную инженерию, чтобы атаковать эксперта по российским операциям
Была раскрыта новая и очень сложная кибератака, предположительно, организованная группой, связанной с российским государством. Этот инновационный метод обманывает людей, заставляя их создавать и передавать пароли, специфичные для приложений (ASP), обходя обычные меры безопасности, такие как многофакторная аутентификация ( MFA ).
Эта сложная атака была совместно раскрыта Citizen Lab (исследовательской группой в Университете Торонто) и группой по анализу угроз Google (GTIG). Их расследование началось после того, как Кейр Джайлс, известный эксперт по российским информационным операциям и старший научный сотрудник Chatham House, обратился за помощью в Citizen Lab после того, как подвергся нападению.
Эта новая атака отличалась от типичного фишинга . Она была медленной и очень убедительной. Она началась 22 мая 2025 года, когда г-н Джайлз получил электронное письмо от некоего человека по имени Клоди С. Вебер, выдававшего себя за сотрудника Госдепартамента США. Электронное письмо выглядело настоящим, даже с другими официальными адресами в строке «CC». Злоумышленники не торопились, отправив более десяти писем за несколько недель, чтобы завоевать доверие. Эксперты полагают, что они могли использовать передовые инструменты, чтобы их сообщения звучали очень естественно.
Главной уловкой было заставить мистера Джайлза зарегистрироваться на фальшивой платформе MS DoS Guest Tenant. Они отправили ему профессионально выглядящий PDF с инструкциями. Этот PDF помог ему создать App-Specific Password (ASP) для его учетной записи Google.
Для информации, ASP — это специальный 16-значный код для старых приложений, которые не работают с современной безопасностью. Хакеры создали видимость того, что этот ASP позволит им войти в защищенную правительственную систему, но на самом деле он дал им полный контроль над его аккаунтами.
GTIG идентифицировала группу, стоящую за этими атаками, как UNC6293. Они полагают, с некоторой уверенностью, что UNC6293 связана с APT29 (также известной как Cozy Bear ), группой кибершпионажа, связанной с Службой внешней разведки России (СВР). Google позже обнаружил атаку на учетные записи г-на Джайлза, принял меры по их защите и отключил адрес электронной почты злоумышленника.
Этот инцидент подчеркивает растущую обеспокоенность: поскольку стандартная безопасность, такая как MFA, становится все более распространенной, злоумышленники находят новые способы ее обойти. Эксперты ожидают больше атак социальной инженерии, нацеленных на пароли, специфичные для приложений.
Теперь командам по кибербезопасности рекомендуется быть осторожнее с тем, как ASPS используются в их организациях, и информировать пользователей об этих новых рисках. Google уже работает над поэтапным отказом от ASP для бизнес-пользователей в Google Workspaces, но по-прежнему соблюдает баланс между безопасностью и потребностями пользователей в личных аккаунтах Gmail.
HackRead
