Російські хакери обходять двофакторний захист Gmail (фото: Getty Images)
Група російських хакерів навчилася обходити багатофакторну аутентифікацію Google, отримуючи доступ до Gmail-акаунтів через спеціально створені паролі для додатків.
Хакери використовували продумані схеми соціальної інженерії, видаючи себе за представників Держдепартаменту США. Метою зловмисників стали відомі дослідники і критики російської влади, зокрема експерт із російської дезінформації Кієр Джайлс. Атаки відбувалися з квітня до початку червня 2025 року.
Як працює атака
Кіберзлочинці розсилають ретельно підготовлені листи, нібито від імені співробітника Держдепу Клоді С. Вебер. Вебер, із запрошенням на “приватну онлайн-зустріч”. Хоча лист надсилається зі звичайного Gmail-акаунта, у копії вказано справжні адреси @state.gov, що робить повідомлення візуально більш правдоподібним.
Згодом жертву просять створити пароль для стороннього застосунку та передати його “адміністраторам платформи”. Таким чином, зловмисники отримують повний доступ до поштового акаунту користувача.
Хто за цим стоїть
За даними GTIG, за атакою стоїть група, відстежувана як UNC6293, яка, ймовірно, пов’язана з APT29 – підрозділом Служби зовнішньої розвідки РФ (СЗР), також відомим як Cozy Bear, Nobelium або Midnight Blizzard. Ця група діє з 2008 року і раніше була причетна до атак на урядові установи, дослідницькі центри та аналітичні організації.
Інфраструктура кампанії включала анонімізуючі сервіси – проксі та VPS-сервери. Крім тем, пов’язаних із Держдепом США, хакери використовували приманки, пов’язані з Україною і Microsoft.
Інструкція UNC6293 зі створення та передачі пароля для стороннього застосунку (фото: The Citizen Lab)
Як захиститися
Фахівці радять користувачам, які можуть бути ціллю атак (включно з журналістами, дослідниками, правозахисниками), зареєструватися в Програмі розширеного захисту Google (Advanced Protection Program). Вона повністю блокує можливість створення пароля для конкретного застосунку та підвищує рівень безпеки акаунта.