Русские хакеры провели серию атак, замаскировавшись под сотрудников Госдепа США и обойдя защиту Gmail
Изображение: Solen Feyissa (unsplash)
Исследователи из Google Threat Intelligence Group рассказали о новой волне киберопераций, в ходе которой злоумышленники из России получили доступ к личной переписке через Gmail, обойдя двухфакторную защиту. По их информации, атаки связаны с группировкой UNC6293, которую эксперты считают структурой, связанной с APT29 и, предположительно, с Службой внешней разведки РФ.
Схема заключалась в использовании паролей, предназначенных для сторонних почтовых клиентов, что позволяло проникнуть в учётные записи даже при активированной двухфакторной проверке. Эти данные запрашивались у жертв через фальшивые электронные обращения, стилизованные под официальные письма от американских чиновников.
В числе целей оказались известные аналитики, критикующие действия России, а также эксперты, занимающиеся информационными операциями. Представители лаборатории Citizen Lab подтвердили, что хакеры применяли сценарии социальной манипуляции, рассчитанные на персональное взаимодействие. Один из инцидентов касался исследователя Кейра Джайлза, получившего сообщение якобы от сотрудницы Госдепа США — Клоди С. Вебер. Её имя и контакт были указаны как участники переписки, в которой предлагалась «частная онлайн-дискуссия». На деле использовался адрес Gmail, а в копии — ряд поддельных аккаунтов с доменом @state.gov, что визуально создавало ощущение официальности.
Citizen Lab подчеркнули, что им не удалось обнаружить в открытых источниках ни одного упоминания настоящей Клоди С. Вебер в системе Госдепартамента. По мнению специалистов лаборатории, злоумышленники рассчитывали на то, что сервера внешнеполитического ведомства не выдают уведомления об ошибке доставки, даже если адрес получателя не существует.
В случае с Джайлзом злоумышленники действовали постепенно. После выражения интереса к «переговорам» ему было предложено подключиться к сервису под названием «MS DoS Guest Tenant», который якобы позволял участвовать во встречах в любое время. Такая подача, как отметили аналитики, была рассчитана на создание атмосферы доверия и убедительность, что особенно важно при атаках на персональные данные высокопрофильных специалистов.
По данным Google, UNC6293 активно действует с весны 2024 года, а используемая ими схема фишинга работает медленно, с расчётом на психологическую обработку цели. Группировка продолжает использовать методики, направленные на обход технических ограничений, что делает её особенно опасной для исследователей, работающих с чувствительной информацией.
