ФСБ России полтора года занималась фишинговыми атаками на журналистов, правозащитников, оппозиционеров и американских политиков, говорится в совместном расследовании Citizen Lab, Access Now и Первого отдела.
Известно, что целями атак были издания "Проект", правозащитная организация Первый отдел, бывший посол США в Украине Стивен Пфайфер. Однако эксперты полагают, что реальное число целей могло быть больше.
"С точки зрения фишинга, это была одна из наиболее изощренных кампаний, нацеленных на российское гражданское общество", – сказал изданию "Агентство" старший исследователь в Citizen Lab Джон Скотт-Рейлтон. С ним согласился глава Первого отдела Дмитрий Заир-Бек.
Часть атак была осуществлена хакерской группировкой Coldriver (также известная как Star Blizzard и Callisto), связываемой с ФСБ. Группировка активизировалась после нападения России на Украину. Часть атак имела другой почерк, поэтому эксперты предположили, что за ней может стоять другая группа хакеров, которую они назвали Coldwastrel. Связь второй группировки с российскими властями установить пока не удалось.
Для взлома использовались сообщения двух типов. В первом случае отправляемое жертве электронное письмо имитировало рассылаемое Google Drive автоматическое уведомление о том, что для пользователя открыт документ, созданный на этом сервисе.
Во втором случае сообщение создавалось специально под взламываемого пользователя. При этом учитывались данные, полученные об этом пользователе, в том числе, судя по всему, и из почтовых ящиков, к которым злоумышленники получили доступ ранее. В ходе переписки использовались различные практики социальной "инженерии".
Например, хакер мог "забывать" сразу прикрепить документ с фишинговой ссылкой, досылать ссылку на документ отдельно или долго не отвечать. При попытке открытия документа цель атаки видела уведомление о том, что документ невозможно открыть встроенными в почту расширениями Google Drive и Proton Drive, после чего жертве предлагали открыть якобы сайты этих сервисов (а на самом деле фишинговые страницы) и уже с их помощью происходило похищение личных данных.
По словам Дмитрия Заир-Бека, некоторые атаки оказались успешными, и хакеры смогли получить данные. Но точного количества он не смог назвать, потому что большинство организаций и изданий не готовы говорить об этом. При этом он отметил, что число атак двухзначное.
Цель хакерских атак неизвестна, но в Первом отделе предполагают, что спецслужбы хотели запугать и помешать финансированию организаций, а возможно, объединить для дальнейшего преследования проекты, оппонирующие российским властям.
