Un grup de hackeri ruși a compromis conturile Gmail ale unor ținte vizate în atacuri ce s-au bazat pe tehnici avansate de inginerie socială pentru a fura coduri necesare aplicațiilor cu acces la conturile Google.

În acest mod, atacatorii au evitat verificarea în doi pași (2FA – two-factor authentication), un mecanism de protecție care împiedică accesul neautorizat la conturi în cazul în care parola este compromisă.

Parolele pentru aplicații sunt coduri de acces de 16 caractere care permit accesul unei aplicații sau unui dispozitiv mai puțin sigur la contul Google. Aceste coduri pot fi utilizate doar dacă mecanismul 2FA este activat.

Gruparea de hackeri este monitorizată sub denumirea UNC6293 și este posibil să aibă legătură cu APT29 (cunoscută și ca NobleBaron, Cozy Bear, CozyDukes, Nobelium, Midnight Blizzard), care operează sub coordonarea Serviciului de Informații Externe al Rusiei (SVR).

Inginerie socială avansată pentru compromiterea conturilor Gmail

Hackerii ruși vizează persoane din mediul academic și indivizi critici la adresa Rusiei, trimițând emailuri aparent din partea unor oficiali ai Departamentului de Stat al SUA, prin care emit o invitație pentru o discuție online privată.

Mesajele de phishing sunt personalizate și elaborate cu mare atenție, desfășurându-se progresiv și adaptându-se răspunsurilor victimei.

Atacatorul utilizează mai multe adrese de email @state.gov în câmpul CC pentru a spori credibilitatea mesajelor și a crea o aparență autentică. Experții de la The Citizen Lab consideră că actorul știe că serverul de email al Departamentului de Stat este configurat să accepte toate mesajele și nu trimite niciun răspuns de eroare, chiar și în cazul adreselor de email inexistente.

Aceste metode permit atacatorilor să convingă destinatarii să genereze și să împărtășească parole specifice aplicațiilor (App-Specific Passwords – ASP) pentru accesul la conturile Gmail, ocolind astfel protecția asigurată de autentificarea în doi sau mai mulți pași (MFA/2FA).

ASP-urile sunt coduri generate de utilizator pentru a permite accesul aplicațiilor terțe la conturile Google, chiar și atunci când autentificarea în doi pași este activă.

Printre țintele vizate de aceste atacuri se numără și expertul în operațiuni informaționale ruse Keir Giles, care a primit o invitație aparent legitimă la o discuție privată pe o platformă falsă denumită MS DoS Guest Tenant, prezentată ca fiind operată de Departamentul de Stat al SUA.

În cadrul interacțiunii, victima a primit un PDF elaborat, fără erori gramaticale sau indicii evidente de fraudă, care conținea instrucțiuni detaliate pentru generarea și transmiterea unei parole specifice aplicațiilor aferente contului său Gmail.

Acest document a servit drept vector principal pentru compromiterea securității contului Google.

Crezând că ASP-ul generat servește înscrierii pe platforma guvernamentală, Giles a împărtășit codul cu atacatorii ruși, permițându-le astfel accesul la contul său Gmail.

Infrastructură tehnică pentru anonimat și acces persistent

Google a identificat atacurile, le-a blocat și a demarat o investigație. Echipa companiei de analiză a amenințărilor (Google Threat Intelligence Group – GTIG) a determinat că atacatorul a desfășurat cel puțin două campanii similare, pe parcursul lunii aprilie și până la începutul lunii iunie.

Hackerii au folosit proxy-uri rezidențiale pentru a redirecționa traficul prin dispozitive reale aparținând utilizatorilor obișnuiți, complicând astfel detectarea și blocarea accesului neautorizat de către sistemele de securitate.

Campaniile au utilizat și servere virtuale private (VPS – virtual private servers) pentru flexibilitate operațională, lansând atacuri din multiple locații geografice și reacționând rapid la eventuale contramăsuri implementate fie de victime, fie de furnizorii de servicii.

Aceste metode au contribuit la menținerea anonimatului și facilitarea accesului repetat la datele sensibile vizate.

Experții în politici publice, jurnaliștii sau activiștii sunt adesea vizați de astfel de atacuri. Programul Protecție Avansată de la Google oferă un set robust de controale special concepute pentru a preveni accesul neautorizat la conturile Gmail, inclusiv blocarea automată a aplicațiilor care nu suportă autentificarea multi-factor și restricționarea creării parolelor specifice aplicațiilor (ASP).

Ca măsuri adiționale, se recomandă utilizarea cheilor de securitate fizice pentru protecția MFA și monitorizarea permanentă a conectărilor și revocarea rapidă a ASP-urilor neutilizate.