Новости / сентябрь 2021
Хакеры взялись за чиновников

Юлия
Степанова
22.09.2021

Британская Cyjax обнаружила масштабную атаку против сотрудников госорганов России и соседних государств. Злоумышленники создают сайты, имитирующие вход в электронную почту для чиновников, а данные могут использовать для дальнейшей атаки на ведомства или продажи доступа на теневом рынке. Эксперты приводят разные версии направленности атак, от политических провокаций до банального фишинга данных.

"Ъ" ознакомился с опубликованным на днях исследованием экспертов британской компании по информационной безопасности Cyjax о фишинговой атаке на чиновников из России и нескольких соседних стран. Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.

Компания проанализировала более 50 доменов в рамках этой схемы и выяснила, что они стали появляться с весны 2020 года.

Сейчас активны 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран, сообщили в Cyjax.

В РАН не ответили на запрос. В Mail.ru рассказали, что мониторят появление фишинговых сайтов и мошеннических писем и "своевременно реагируют на подобные инциденты, включая те, что перечислены в отчете". В почте Mail.ru работает антиспам-система, которая адаптируется к новым сценариям спама, в том числе фишингового, добавили в компании.

Целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих, полагают в Cyjax. Вероятно, злоумышленники распространяют ссылки на эти страницы с помощью фишинговых рассылок, однако образцов подобных писем экспертам найти не удалось.

Распространена техника, когда злоумышленники рассылают сотрудникам письма о том, что, например, у компании появился новый почтовый сервер, на котором нужно зарегистрироваться по ссылке, говорит директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его словам, получив логины и пароли, злоумышленники могут подключаться к почтовому ящику и конфиденциальным документам в письмах сотрудника. Хакеры могут использовать полученный доступ для дальнейшей атаки: отправить письмо с вредоносным вложением в адрес партнеров компании, рассказывает господин Новиков.

Я так понимаю, что эти фишинговые сайты — это как раз от слова "рыба", наверное. Которые ищут свои жертвы там, в сети

Учитывая отсутствие немедленной финансовой выгоды от атаки и направленность на РФ и соседние страны, за ней может стоять некая прогосударственная группировка, считают в Cyjax. "Ъ" ранее рассказывал о рассылке фейковых писем якобы от госструктур, в которых содержалось вредоносное программное обеспечение. В октябре 2020 года компании по кибербезопасности предупреждали о целевых атаках на сотрудников госорганов хакерской группировки XDSpy. Но за атакой могут стоять и хакеры, продающие доступы на теневых форумах, уточняют в Cyjax.

"Мотивом кампании может быть провокация против России на тему того, что мы взламываем своих соседей",— полагает сооснователь проекта StopPhish Юрий Другач. На провокацию указывает то, что некоторые из доменов зарегистрированы в июле и серверы размещены на российском хостинге, поясняет он. Для фишинговых сайтов злоумышленники часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей, говорит Алексей Новиков. "Это позволяет им усложнить поиски владельца сайта",— указывает он.

Юрий Другач отмечает разнородность атак, предполагая, что за ними стоят несколько группировок мошенников. Например, поясняет эксперт, у РАН шесть поддельных сайтов, на которых злоумышленники не просто занимаются фишингом, но и устанавливают вредоносные дополнения в браузер.