Hackers russos driblam a autenticação de dois fatores e acessam contas do Gmail explorando senhas específicas de aplicativos em ataques avançados de engenharia social que se passam por oficiais do Departamento de Estado dos EUA.
O ator de ameaça mirou em acadêmicos renomados e críticos da Rússia em um ataque de engenharia social descrito como "sofisticado e personalizado", que não pressionou as pessoas de interesse a tomarem ação imediata.
Entre abril e junho, os hackers enviaram mensagens de phishing meticulosamente desenvolvidas com o objetivo de convencer os destinatários a criar e compartilhar senhas específicas de aplicativos, que permitiriam o acesso às suas contas do Gmail.
Uma senha específica de aplicativo é projetada para permitir que apps de terceiros (por exemplo, um cliente de email) considerados menos seguros ou aplicações mais antigas tenham permissão para acessar sua Conta Google, caso a autenticação de dois fatores (2FA) esteja ativa.
Pesquisadores de segurança do Google Threat Intelligence Group monitoram o ciberator como UNC6293.
Eles acreditam que são patrocinados pelo estado e podem estar associados ao APT29, um grupo de ameaças sob o Serviço de Inteligência Externa da Rússia (SVR).
APT29 é monitorado sob múltiplos nomes (NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard) e está em operação desde pelo menos 2008.
Seus alvos incluem redes governamentais, institutos de pesquisa e think tanks.
O grupo de pesquisa acadêmica The Citizen Lab investigou um incidente da campanha de spearphishing do UNC6293 que mirou no especialista em operações de informação russa Keir Giles.
O ataque começa com um email assinado por Claudie S. Weber, supostamente do Departamento de Estado dos EUA, convidando Giles para "uma conversa online privada".
Embora a mensagem seja enviada de uma conta do Gmail, múltiplos endereços de email @state.gov estão presentes na linha de cópia oculta (CC), incluindo um para Claudie S.
Weber, tornando a comunicação mais crível como oficial.
Os pesquisadores dizem que não encontraram evidências de uma "Claudie S. Weber" empregada pelo Departamento de Estado dos EUA.
“Acreditamos que o atacante está ciente de que o servidor de email do Departamento de Estado aparentemente está configurado para aceitar todas as mensagens e não emite uma resposta de 'rejeição' mesmo quando o endereço não existe” - The Citizen Lab
Após várias trocas de emails onde Giles expressou interesse, mas revelou que poderia não estar disponível no dia indicado, o ator de ameaça o convidou para se juntar à plataforma “MS DoS Guest Tenant” do Departamento de Estado, “que permitiria que você participasse de futuras reuniões com facilidade, independentemente de quando aconteçam”.
Giles aceitou e foi enviado um arquivo PDF detalhando como criar uma senha específica de aplicativo em uma conta Google, necessária para se inscrever na suposta plataforma como um usuário convidado.
Uma etapa posterior no engano envolveu compartilhar o código da senha específica do aplicativo com administradores do US DoS para adicionar o usuário externo ao Guest O365 Tenant.
Foi delineada uma explicação para isso nas instruções, dizendo que é uma solução alternativa que facilita a comunicação segura pela plataforma entre funcionários do US DoS e usuários externos com contas do Gmail.
Enquanto o alvo acredita que está criando e compartilhando uma senha específica de aplicativo para acessar uma plataforma do Departamento de Estado de maneira segura, na realidade, está dando ao atacante acesso total à sua conta Google, explicam os pesquisadores do The Citizen Lab.
Pesquisadores do Google Threat Intelligence Group (GTIG) determinaram que essa campanha de spearphishing começou pelo menos em abril e continuou até o início de junho.
Durante esse período, identificaram duas campanhas, uma baseada em temas relacionados ao Departamento de Estado dos EUA e outra que utilizava iscas associadas à Ucrânia e à Microsoft.
Ambas as campanhas incluíam proxies residenciais (91.190.191[.]117) e servidores de servidores privados virtuais (VPS) na infraestrutura, permitindo que o ator de ameaça permanecesse anônimo ao acessar contas de email comprometidas.
As duas campanhas de engenharia social observadas pelo The Citizen Lab e GTIG foram habilidosamente elaboradas e contaram com múltiplas identidades falsas, contas e vários materiais projetados para aumentar o engano.
Usuários alvo de táticas avançadas de phishing são tipicamente indivíduos intimamente envolvidos em questões de alto perfil relacionadas a conflitos, litígios ou advocacia.
Para mantê-los seguros de atacantes habilidosos, o Google recomenda a inscrição em seu Programa de Proteção Avançada, que eleva as medidas de segurança na conta e não permite criar uma senha específica de aplicativo ou fazer login sem fornecer uma chave de acesso específica.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...