Пра гэта гаворыцца ў сумесным расьсьледаваньні лябараторыі Citizen Lab пры Ўнівэрсытэце Таронта, арганізацыі абароны лічбавых правоў Access Now, праекту «Первый отдел», дасьледнікаў бясьпекі Arjuna Team і Resident.ngo.
Зламысьнікі стваралі падробленыя электронныя адрасы ProtonMail, зь якіх ахвярам атакі адпраўлялі лісты ад імя знаёмых людзей ці арганізацыяў. Як правіла, паведамленьні зьмяшчалі тэкст з просьбай прагледзець дакумэнт, які мае дачыненьне да працы. Напрыклад, гаворка магла ісьці пра грант або чарнавік артыкулу. Citizen Lab адзначае, што хакеры выкарыстоўвалі пэрсаналізаваны падыход, таму некаторым атрымальнікам ліста было складана зразумець, што гэты фішынгавы ліст, а фэйкавыя паштовыя адрасы маглі адрозьнівацца ад сапраўдных толькі адной літарай.
У лістах былі PDF-файлы, нібыта зашыфраваныя, а карыстальніку, каб адкрыць іх, трэба было зайсьці ў свой акаўнт на Proton Drive або Google Drive. Калі атрымальнік ліста пераходзіў на спасылку і ўводзіў свой пароль і код двухфактарнай аўтэнтыфікацыі, зламысьнікі атрымлівалі доступ да зьвестак. З узламанай пошты хакеры маглі накіроўваць новыя фішынгавыя лісты іншым ахвярам.
Тыповыя фішынгавыя атакі, як адзначаецца, у асноўным абмяжоўваліся PDF-файлам, але было некалькі выпадкаў, калі зламысьнікі адпраўлялі электронны ліст, аформлены як агульны доступ да дакумэнта, зь фішынгавай спасылкай, убудаванай непасрэдна ў паведамленьне. У адным выпадку, калі хакерам не ўдалося атрымаць зьвесткі, мяркуюць аўтары дасьледаваньня, яны паўтарылі спробу, але ўжо з дапамогай адпраўкі PDF-файла.
У гэтай кампаніі бралі ўдзел дзьве хакерскія групоўкі — Coldwastrel і ColdRiver, таксама вядомая як Callisto Group. Апошняя, паводле зьвестак праекту «Первый отдел», зьвязаная з Цэнтрам інфармацыйнай бясьпекі ФСБ Расеі.
Першай вядомай мэтай адной з хакерскіх групаў стаў сам «Первый отдел», які паведаміў пра атаку, якая адбылася ў канцы 2022 году, Access Now і Citizen Lab. Акрамя праваабарончага праекту, ахвярамі нападаў сталі ў прыватнасьці былы амбасадар ЗША ва Ўкраіне Стывэн Пайфэр і выданьне «Праект».
У расьсьледаваньні не называюць імёнаў большасьці аб'ектаў хакерскіх атак дзеля іх прыватнасьці і бясьпекі, таму імёны беларусаў, якія зазналі фішынгавыя атакі хакераў, невядомыя.
Атака на «Праект» адбылася ў лістападзе 2023 году, калі выдавец «Праекту» Паліна Махольд атрымала ліст ад былога партнэра, піша «Агентство». У ім ён прапанаваў новую ідэю і пераслаў файл у фармаце PDF. Дакумэнт не адкрываўся, а Protonmail прапанаваў перайсьці на спасылку і працягнуць працу ў Proton Drive. У апошні момант Махольд заўважыла, што url не супадаў з рэальным дамэнам Proton Drive, у выніку чаго выданьне ўнікла ўзлому.
Хакеры пасьля ўзлому маглі атрымаць усю перапіску з працоўнай пошты, зьмест атакаванага сховішча, у тым ліку ўнутраныя дакумэнты арганізацыі, а таксама зьмест акаўнтаў на іншых сэрвісах, калі там не было двухфактарнай аўтэнтыфікацыі.
Форум