Hackeři spustili sofistikovanou kampaň sociálního inženýrství a phishingu, jejímž cílem bylo zaútočit na významného výzkumníka zneužitím funkce Gmailu.
Podezřelá skupina podporovaná Ruskem, pravděpodobně APT29 (Cozy Bear), zahájila pokročilou phishingovou operaci proti Keiru Gilesovi, otevřenému kritikovi ruské agrese. Útočníci obešli ochranu vícefaktorovým ověřováním (MFA) zneužitím méně známé funkce Gmailu, která hackerům umožňovala přihlásit se bez znalosti hesla.
„Claudie S Weber“ a fantomová platforma
Začátkem roku 2024 někdo, kdo se vydával za vedoucí poradkyni amerického ministerstva zahraničí, Claudie S. Weberovou, poslal e-mail Keiru Gilesovi. V té době byl Giles vedoucím pracovníkem specializujícím se na ruské záležitosti v Chatham House. Weber pozval Gilese k důvěrné diskusi prostřednictvím „platformy pro hostující nájemce“.
Weber a Giles si v následujících týdnech vyměnili desítky e-mailů, to vše při zachování profesionálního tónu a slušného chování, posílali průvodce ve formátu PDF a dokonce nabízeli falešnou IT podporu, když Giles začal váhat.
„Na první pohled to vypadalo věrohodně, ale s drobnými nesrovnalostmi,“ řekl Giles listu The Times. „Byli velmi trpěliví, velmi vytrvalí a neuvěřitelně dobře informovaní.“
Zneužívání hesel specifických pro aplikace
Útočník Gilesovo heslo neukradl. Místo toho ho přesvědčil, aby si vygeneroval „heslo pro konkrétní aplikaci“, což je ve skutečnosti legitimní funkce Gmailu pro starší aplikace, které postrádají moderní bezpečnostní podporu.
Toto vygenerované heslo obešlo dvoufaktorové ověřování (2FA) Gmailu a novému uživateli poskytlo plný přístup k účtu. Útočníci tuto funkci využili k úplnému obejití bezpečnostních mechanismů Googlu.
„Nejednalo se o chybu v samotném Gmailu,“ řekl Shane Huntley, vedoucí skupiny pro analýzu hrozeb (TAG) společnosti Google. „Útočníci zneužili legitimní funkce prostřednictvím klamavého sociálního inženýrství.“
Google útok připsal skupině podporované ruskou vládou, pravděpodobně APT29 (Cozy Bear), a varoval, že cílem útoku by se mohli stát i další osoby, zejména pokud pracují v akademické sféře, think tankech nebo masmédiích.
Preciznost a trpělivost
Útočníci začali tím, že si vytvořili přesvědčivý účet Gmail a odeslali kopii zdánlivě legitimním úředníkům. Gmail bohužel tyto falešné adresy neoznačil, což útočníkům ve skutečnosti pomohlo.
Phishingová kampaň proti Keiru Gilesovi nebyla umožněna čelním prolomením ochranných opatření, ale zneužitím lidské důvěry. Nevýhodou pro útočníky je, že úspěch takového plánu může trvat měsíce. Tento typ cíleného plánu útoku je však obvykle vyhrazen pouze pro velmi důležité osoby.
Pro více informací o produktech společnosti Bitdefender, nás neváhejte kontaktovat.
