Британская Cyjax обнаружила масштабную атаку против сотрудников госорганов России и соседних государств. Злоумышленники создают сайты, имитирующие вход в электронную почту для чиновников, а данные могут использовать для дальнейшей атаки на ведомства или продажи доступа на теневом рынке. Эксперты приводят разные версии направленности атак, от политических провокаций до банального фишинга данных.
«Ъ» ознакомился с опубликованным на днях исследованием экспертов британской компании по информационной безопасности Cyjax о фишинговой атаке на чиновников из России и нескольких соседних стран. Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.
Компания проанализировала более 50 доменов в рамках этой схемы и выяснила, что они стали появляться с весны 2020 года.
Сейчас активны 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран, сообщили в Cyjax.
В РАН не ответили на запрос. В Mail.ru рассказали, что мониторят появление фишинговых сайтов и мошеннических писем и «своевременно реагируют на подобные инциденты, включая те, что перечислены в отчете». В почте Mail.ru работает антиспам-система, которая адаптируется к новым сценариям спама, в том числе фишингового, добавили в компании.
Целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих, полагают в Cyjax. Вероятно, злоумышленники распространяют ссылки на эти страницы с помощью фишинговых рассылок, однако образцов подобных писем экспертам найти не удалось.
Распространена техника, когда злоумышленники рассылают сотрудникам письма о том, что, например, у компании появился новый почтовый сервер, на котором нужно зарегистрироваться по ссылке, говорит директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его словам, получив логины и пароли, злоумышленники могут подключаться к почтовому ящику и конфиденциальным документам в письмах сотрудника. Хакеры могут использовать полученный доступ для дальнейшей атаки: отправить письмо с вредоносным вложением в адрес партнеров компании, рассказывает Новиков.
Я так понимаю, что эти фишинговые сайты — это как раз от слова «рыба», наверное. Которые ищут свои жертвы там, в сетиВладимир Путинпрезидент РФ, на прямой линии, 30 июня
Учитывая отсутствие немедленной финансовой выгоды от атаки и направленность на РФ и соседние страны, за ней может стоять некая прогосударственная группировка, считают в Cyjax. «Ъ» ранее рассказывал о рассылке фейковых писем якобы от госструктур, в которых содержалось вредоносное программное обеспечение. В октябре 2020 года компании по кибербезопасности предупреждали о целевых атаках на сотрудников госорганов хакерской группировки XDSpy. Но за атакой могут стоять и хакеры, продающие доступы на теневых форумах, уточняют в Cyjax.
«Мотивом кампании может быть провокация против России на тему того, что мы взламываем своих соседей», — полагает сооснователь проекта StopPhish Юрий Другач. На провокацию указывает то, что некоторые из доменов зарегистрированы в июле и серверы размещены на российском хостинге, поясняет он. Для фишинговых сайтов злоумышленники часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей, говорит Алексей Новиков. «Это позволяет им усложнить поиски владельца сайта», — указывает он.
Юрий Другач отмечает разнородность атак, предполагая, что за ними стоят несколько группировок мошенников. Например, поясняет эксперт, у РАН шесть поддельных сайтов, на которых злоумышленники не просто занимаются фишингом, но и устанавливают вредоносные дополнения в браузер.
Юлия Степанова