Rosyjscy hakerzy atakują krytyków Kremla na całym świecie, ujawniając agresywną kampanię phishingową
W niepokojącym rozwoju wydarzeń hakerzy powiązani z rosyjskim wywiadem aktywnie atakują krytyków Kremla na całym świecie za pomocą wyrafinowanych kampanii phishingowych. Ta alarmująca operacja cybernetycznego szpiegostwa została niedawno ujawniona przez grupy zajmujące się prawami cyfrowymi Citizen Lab i Access Now i podkreśla rosnące zagrożenie cyberatakami w miarę zbliżania się wyborów prezydenckich w USA w 2024 r.
Te ataki phishingowe, które rozpoczęły się w 2022 r., naraziły na szwank szerokie grono osób i organizacji, w tym rosyjskich opozycjonistów na wygnaniu, byłych urzędników ds. polityki USA, pracowników naukowych, pracowników organizacji non-profit w USA i UE oraz różne media. Zasięg hakerów obejmuje nawet osoby nadal mieszkające w Rosji, co naraża je na znaczne niebezpieczeństwo. Głównym celem tych ataków wydaje się być infiltracja rozległych sieci kontaktów ofiar, a tym samym uzyskanie dostępu do poufnych informacji.
Spis treści
Wyrafinowane taktyki phishingu poprzez podszywanie się i oszustwo
To, co czyni tę kampanię phishingową szczególnie niebezpieczną, to metoda podszywania się pod osoby znane ofiarom, zwiększając tym samym prawdopodobieństwo otwarcia wiadomości e-mail i zaufania jej. Ta oszukańcza taktyka odróżnia tę operację od typowych prób phishingu i doprowadziła do udanych naruszeń.
Citizen Lab zidentyfikował dwie rosyjskie grupy hakerskie stojące za tymi atakami. Pierwsza, Cold River, została powiązana z rosyjską Federalną Służbą Bezpieczeństwa (FSB) przez zachodni wywiad. Druga grupa, Coldwastrel, jest nowszym podmiotem, który również wydaje się być powiązany z działaniami rosyjskiego wywiadu.
Rola Citizen Lab i Access Now w wykrywaniu ataku
Pomimo wielokrotnych zaprzeczeń ze strony Rosji dotyczących zaangażowania w takie działania, w tym te związane z Cold River, dowody przedstawione przez Citizen Lab malują inny obraz. Co ciekawe, jednym z celów był były ambasador USA na Ukrainie, do którego nawiązano kontakt za pośrednictwem wiarygodnej próby phishingu, podszywając się pod innego byłego ambasadora, którego znał.
Wiadomości phishingowe zazwyczaj zawierały załącznik PDF, który po kliknięciu przekierowywał odbiorcę na fałszywą stronę logowania Gmail lub ProtonMail. Ofiary, które wprowadzały swoje dane uwierzytelniające na tych fałszywych stronach, nieświadomie udzielały hakerom dostępu do swoich kont e-mail i kontaktów. Niestety, kilka osób padło ofiarą tej taktyki.
Jak rozwijały się te ataki phishingowe
Dmitry Zair-Bek, lider rosyjskiej grupy praw człowieka First Department, podkreślił skuteczność tego prostego, ale potężnego ataku. Charakter wiadomości e-mail, które najwyraźniej pochodziły od współpracowników, sprawił, że były szczególnie trudne do rozpoznania jako oszustwa. Według Zair-Beka liczba osób będących celem ataków jest dwucyfrowa, a większość incydentów miała miejsce w tym roku.
Citizen Lab podkreśliło poważne implikacje tych ataków, szczególnie dla osób mających powiązania ze społecznościami wysokiego ryzyka w Rosji. Dla niektórych udany kompromis może prowadzić do poważnych konsekwencji, w tym do uwięzienia.
Cold River szybko stała się jedną z najbardziej produktywnych rosyjskich grup hakerskich odkąd po raz pierwszy pojawiła się na radarach wywiadu w 2016 r. Po inwazji Rosji na Ukrainę grupa zintensyfikowała swoją działalność, co doprowadziło do nałożenia sankcji na niektórych jej członków przez władze USA i Wielkiej Brytanii w grudniu.