Эксперты обнаружили кибератаку на сотрудников госведомств

0
380

Британская Cyjax обнаружила масштабную атаку против сотрудников госорганов России и соседних государств. Злоумышленники создают сайты, имитирующие вход в электронную почту для чиновников, а данные могут использовать для дальнейшей атаки на ведомства или продажи доступа на теневом рынке. Эксперты приводят разные версии направленности атак, от политических провокаций до банального фишинга данных.

Эксперты обнаружили кибератаку на сотрудников госведомств

«Ъ» ознакомился с опубликованным на днях исследованием экспертов британской компании по информационной безопасности Cyjax о фишинговой атаке на чиновников из России и нескольких соседних стран. Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.

Компания проанализировала более 50 доменов в рамках этой схемы и выяснила, что они стали появляться с весны 2020 года.

Сейчас активны 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран, сообщили в Cyjax.

В РАН не ответили на запрос. В Mail.ru рассказали, что мониторят появление фишинговых сайтов и мошеннических писем и «своевременно реагируют на подобные инциденты, включая те, что перечислены в отчете». В почте Mail.ru работает антиспам-система, которая адаптируется к новым сценариям спама, в том числе фишингового, добавили в компании.

Целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих, полагают в Cyjax. Вероятно, злоумышленники распространяют ссылки на эти страницы с помощью фишинговых рассылок, однако образцов подобных писем экспертам найти не удалось.

Распространена техника, когда злоумышленники рассылают сотрудникам письма о том, что, например, у компании появился новый почтовый сервер, на котором нужно зарегистрироваться по ссылке, говорит директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его словам, получив логины и пароли, злоумышленники могут подключаться к почтовому ящику и конфиденциальным документам в письмах сотрудника. Хакеры могут использовать полученный доступ для дальнейшей атаки: отправить письмо с вредоносным вложением в адрес партнеров компании, рассказывает Новиков.

Я так понимаю, что эти фишинговые сайты — это как раз от слова «рыба», наверное. Которые ищут свои жертвы там, в сетиВладимир Путинпрезидент РФ, на прямой линии, 30 июня

Учитывая отсутствие немедленной финансовой выгоды от атаки и направленность на РФ и соседние страны, за ней может стоять некая прогосударственная группировка, считают в Cyjax. «Ъ» ранее рассказывал о рассылке фейковых писем якобы от госструктур, в которых содержалось вредоносное программное обеспечение. В октябре 2020 года компании по кибербезопасности предупреждали о целевых атаках на сотрудников госорганов хакерской группировки XDSpy. Но за атакой могут стоять и хакеры, продающие доступы на теневых форумах, уточняют в Cyjax.

«Мотивом кампании может быть провокация против России на тему того, что мы взламываем своих соседей», — полагает сооснователь проекта StopPhish Юрий Другач. На провокацию указывает то, что некоторые из доменов зарегистрированы в июле и серверы размещены на российском хостинге, поясняет он. Для фишинговых сайтов злоумышленники часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей, говорит Алексей Новиков. «Это позволяет им усложнить поиски владельца сайта», — указывает он.

Юрий Другач отмечает разнородность атак, предполагая, что за ними стоят несколько группировок мошенников. Например, поясняет эксперт, у РАН шесть поддельных сайтов, на которых злоумышленники не просто занимаются фишингом, но и устанавливают вредоносные дополнения в браузер.

Юлия Степанова