21 жнiўня 2019, Серада, 22:45
Мы ў адной лодцы
Рубрыкі

The Insider і Bellingcat апавялі пра хакерскія напады з боку расейскіх спецслужбаў

2
The Insider і Bellingcat апавялі пра хакерскія напады з боку расейскіх спецслужбаў

Напады ГРУ зазналі не менш за дзесяць расейскіх, амерыканскіх і еўрапейскіх журналістаў.

Супрацоўнікі выдання The Insider і расследавальнай групы Bellingcat зазналі фішынгавыя атакі Галоўнай выведвальнай управы Расеі. Пра гэта паведамляе The Insider.

Паводле звестак следчых, атакі пачаліся прыблізна ў канцы красавіка і мелі некалькі хваляў. Прыкладна ў пачатку месяца хакеры зарэгістравалі 11 даменных імёнаў для маскавання нападаў пад лісты сэрвісу ProtonMail, пацвердзіла ягоная адміністрацыя. Там адзначылі, што напад не быў паспяховым праз пільнасць супрацоўнікаў Bellingcat і самога сэрвісу.

Расследавальная група і The Insider высветлілі, што напад адбываўся з некалькіх адрасоў, а лісты ўяўлялі з сябе фэйкавыя папярэджанні ад ProtonMail пра ўзлом старонак або падазроныя спробы ўваходу ў іх.

Пры гэтым у графе «адпраўнік» адлюстроўвалася сапраўдная пошта сэрвісу, але пры адказе на ліст можна было выявіць, што паведамленні прыходзілі з бясплатнага паштовага сэрвісу mail.uk, адзначылі следчыя. Аднак як мінімум адно з паведамленняў было адпраўлена з скрыні Protonmail.

Тэкст лістоў быў падобны на цяперашняе папярэджанне ProtonMail, гаворыцца ў расследаванні. У іх былі гіперспасылкі, перайшоўшы на якія чалавек павінен быў адкрыць налады і памяняць пароль. Следчыя расказалі, што разам з імі атакі зазналі не менш за дзесяць расейскіх, амерыканскіх і еўрапейскіх журналістаў, гаворыцца ў расследаванні.

У ProtonMail патлумачылі, што скрыпты фэйкавых даменаў сінхранізаваліся з рэальным даменам сэрвісу. У тэорыі гэта магло б дазволіць абыходзіць двухфактарную ідэнтыфікацыю, але невядома, ці выкарысталі такі прыём хакеры, адзначылі ў кампаніі.

The Insider і Bellingcat адзначылі, што некаторыя з адрасатаў фішынгавых лістоў ProtonMail ужо атрымлівалі фэйкавыя паведамленні ад групы хакераў, вядомай як APT 28, Fancy Bear або Pawn Storm. Для набыцця даменаў яна выкарыстала сэрвісы Njalla і Web4Africa. Эксперты ў вобласці кібербяспекі знайшлі сайт, выкарыстаны хакерамі для стварэння клона ProtonMail.

Цяпер расследаваннем нападаў на журналістаў займаюцца галандскія і французскія праваахоўнікі, таму што хакеры выкарысталі IP-адрасы гэтых краінаў, расказалі следчыя.

Летась міністр замежных справаў Вялікай Брытаніі Джэрэмі Хант абвінаваціў расейскую выведку ў тым, што яе прадстаўнікі стаяць за кібератакамі па ўсім свеце. Паводле звестак Нацыянальнага цэнтра кібербяспекі (NCSC), 12 хакерскіх групаў служылі прыкрыццём для дзейнасці расейскай ваеннай выведкі, у тым ліку Fancy Bear.