Один PDF от «Госдепа» — и у них вся ваша почта. Без взлома, без шума, без шансов

PDF взлом фишинг социальная инженерия UNC6293 почта
Один PDF от «Госдепа» — и у них вся ваша почта. Без взлома, без шума, без шансов
PDF взлом фишинг социальная инженерия UNC6293 почта

@state.gov — фальшивка. Но мы не проверяем то, во что привыкли верить.

image

Группа хакеров провела тщательно спланированную атаку на пользователей Gmail, сумев обойти двухфакторную аутентификацию и получить несанкционированный доступ к аккаунтам. Целью операции стали известные эксперты в области международной безопасности и политологии — в частности, исследователи, занимающиеся вопросами дезинформации и кибервлияния.

Злоумышленники использовали нетипичную и в высшей степени изощрённую тактику социальной инженерии . Вместо стандартных массовых рассылок с угрозами или срочными требованиями, в этой кампании применялись персонализированные письма, оформленные в официальном стиле и отправленные якобы от имени сотрудников Госдепартамента США.

Один из задокументированных эпизодов произошёл с Киром Джайлсом , британским аналитиком и специалистом по информационным операциям в России. Он получил письмо от некой Клоди С. Вебер — якобы официальной представительницы ведомства — с предложением принять участие в закрытой онлайн-дискуссии по вопросам международной координации. В сообщении указывалось, что мероприятие будет проходить через внутреннюю платформу MS DoS Guest Tenant.

Хотя письмо пришло с обычного Gmail-адреса, оно выглядело убедительно: в копии значились несколько @state.gov аккаунтов, включая адрес самой Вебер, что создавало впечатление подлинной служебной переписки. Однако, как позже выяснилось, ни Вебер, ни указанные адреса не имели отношения к Госдепу. По данным Citizen Lab, хакеры воспользовались особенностью почтового сервера ведомства: система принимает письма, адресованные даже несуществующим @state.gov ящикам, не возвращая уведомлений об ошибке. Это позволяет подставлять любые "официальные" адреса в поле копии — получатель вряд ли сможет распознать обман.

Переписка между хакером и жертвой продолжалась несколько дней. В ходе общения жертве объяснили, что для участия в будущих мероприятиях потребуется пройти одноразовую регистрацию на платформе. Для этого ей выслали PDF-инструкцию по созданию специального пароля для приложений (app-specific password) в Google-аккаунте — уникального кода, предназначенного для подключения сторонних приложений без основного пароля.

Такие пароли применяются, например, для старых почтовых клиентов и не требуют подтверждения входа через дополнительный код, тем самым позволяя обойти двухфакторную защиту. После генерации кода жертве предложили передать его администраторам системы для завершения регистрации. На деле это давало злоумышленникам полный доступ к почтовому ящику, включая письма, документы и вложения.

Киберпреступники, отслеживаемые Google под именем UNC6293, по всей видимости, действуют под покровительством спецслужб. Исследователи связывают их с группировкой APT29 , также известной как Nobelium , Cozy Bear или Midnight Blizzard. Эта структура активно работает с 2008 года, специализируясь на атаках на правительственные учреждения, научные центры и аналитические организации по всему миру.

Специалисты Google Threat Intelligence Group выяснили, что подобных атак было как минимум две. В одной фигурировали темы, связанные с Госдепартаментом США, в другой — упоминания о Microsoft и Украине. Во всех случаях использовались виртуальные серверы и резидентные прокси, включая IP-адрес 91.190.191[.]117, позволяющий замаскировать реальное происхождение подключения.

Обе кампании отличались высоким уровнем детализации: поддельные документы, аккуратно оформленные письма, ложные личности — всё было рассчитано на максимальное доверие. Хакеры уделяли внимание каждой мелочи, чтобы их сообщения выглядели максимально правдоподобно. Как показывают исследования, адаптивный фишинг становится всё более эффективным инструментом киберпреступников.

Целями становились люди, вовлечённые в чувствительные международные процессы — от политических консультантов до участников правозащитных инициатив. Злоумышленники не просто взламывали аккаунты — они системно охотились за информацией, имеющей стратегическую ценность.

В качестве надёжной меры защиты Google советует активировать программу Advanced Protection. Этот режим повышенной безопасности полностью исключает возможность использования app-specific password и требует дополнительной аппаратной аутентификации при входе. Он предназначен именно для тех пользователей, которые могут стать объектом целевых атак со стороны профессиональных группировок.