Атакам ГРУ подверглись не менее десяти российских, американских и европейских журналистов.
Сотрудники издания The Insider и расследовательской группы Bellingcat, подверглись фишинговой атаке Главного разведывательного управления России. Об этом сообщает The Insider.
По данным расследователей, атаки начались приблизительно в конце апреля и имели несколько волн. Примерно в начале месяца хакеры зарегистрировали 11 доменных имен для маскировки атак под письма сервиса ProtonMail, подтвердила его администрация. Там отметили, что атака не была успешной из-за бдительности сотрудников Bellingcat и самого сервиса.
Расследовательская группа и The Insider выяснили, что атака производилась с нескольких адресов, а письма представляли собой фейковые предупреждения от ProtonMail о взломе аккаунтов или подозрительных попытках входа в них.
При этом в графе «отправитель» отображалась действительная почта сервиса, но при ответе на письмо можно было обнаружить, но сообщения приходили с бесплатного почтового сервиса mail.uk, отметили расследователи. Однако как минимум одно из сообщений было отправлено с ящика Protonmail.
Текст писем был похож на настоящее предупреждения ProtonMail, говорится в расследовании. В них были гиперссылки, перейдя по которым человек должен был открыть настройки и поменять пароль. Расследователи рассказали, что вместе с ними атакам подверглись не менее десяти российских, американских и европейских журналистов, говорится в расследовании.
В ProtonMail объяснили, что скрипты фейковых доменов синхронизировались с реальным доменом сервиса. В теории это могло бы позволить обходить двухфакторную идентификацию, но неизвестно, использовали ли данный прием хакеры, отметили в компании.
The Insider и Bellingcat отметили, что некоторые из адресатов фишинговых писем ProtonMail уже получали фейковые сообщения от группы хакеров известной как APT 28, Fancy Bear или Pawn Storm. Для покупки доменов она использовала сервисы Njalla и Web4Africa. Эксперты в области по кибербезопасности нашли сайт, использованный хакерами для создания клона ProtonMail.
Сейчас расследованием атак на журналистов занимаются голландские и французские правоохранители, потому что хакеры использовали IP-адреса этих стран, рассказали расследователи.
В прошлом году министр иностранных дел Великобритании Джереми Хант обвинил российскую разведку в том, что ее представители стоят за кибератаками по всему миру. По данным Национального центра кибербезопасности (NCSC), 12 хакерских групп служили прикрытием для деятельности российской военной разведки, в том числе Fancy Bear.