Rosyjscy hakerzy przełamali zabezpieczenia Google przy użyciu sprytnych ataków socjotechnicznych

Grupa rosyjskich hakerów, prawdopodobnie powiązana z APT29 (znana m.in. jako Cozy Bear), zdobyła dostęp do kont Gmail wybranych ekspertów i krytyków Kremla, omijając dwuskładnikowe uwierzytelnianie (2FA). Atak przeprowadzono między kwietniem a początkiem czerwca.

Cyberprzestępcy podszywali się pod urzędników Departamentu Stanu USA, przesyłając starannie przygotowane maile z zaproszeniami na „prywatne spotkania online”. W toku korespondencji prosili ofiary o utworzenie i udostępnienie tzw. haseł specyficznych dla aplikacji – narzędzi używanych do logowania się do konta Google w starszych aplikacjach przy włączonym 2FA.

Ofiary, przekonane, że umożliwiają bezpieczne połączenie z rządową platformą, w rzeczywistości dawały hakerom pełen dostęp do swojej poczty. Przykładem jest ekspert ds. rosyjskiej dezinformacji, Keir Giles, który otrzymał fałszywe zaproszenie od rzekomej urzędniczki Claudie S. Weber.

Według Google Threat Intelligence Group, kampania była częścią szeroko zakrojonej operacji, która również wykorzystywała tematy związane z Ukrainą i firmą Microsoft. Hakerzy używali fałszywych tożsamości, serwerów VPS oraz sieci proxy, aby pozostać anonimowymi.

Google zaleca osobom narażonym na zaawansowane ataki zapisanie się do programu Advanced Protection, który znacząco podnosi poziom bezpieczeństwa konta i blokuje możliwość tworzenia haseł dla aplikacji.