Новости The Insider и Bellingcat заявили о попытке взлома со стороны ГРУ

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
The Insider сообщил, что журналисты издания и расследовательской группы Bellingcat подверглись хакерской атаке со стороны Главного разведывательного управления России (ГРУ). В заявлении утверждается, что это была «наиболее изощренная из всех последних фишинговых атак ГРУ».
s1200

По данным издания, хакерские атаки начались приблизительно в конце апреля этого года. Взломщики зарегистрировали 11 доменных имен, чтобы с их помощью маскировать атаки под письма сервиса ProtonMail. Они успели использовать пять до конца июля (The Insider приводит их названия). Еще шесть доменных имен назвали эксперты по кибербезопасности из ThreatConnect.

Хакеры рассылали от имени ProtonMail фейковые предупреждения о подозрительных попытках входа или о взломе аккаунта, которые были очень похожи на настоящие. В тексте была гиперссылка, по которой нужно было перейти в настройки, чтобы поменять пароль для защиты аккаунта.

Отправитель отображался как support[@]protonmail.ch (реальный адрес), но реальным отправителем были аккаунты с бесплатного почтового сервисе mail.uk (что можно было проверить, нажав на кнопку «ответить на письмо»). Когда атаки только начались, как минимум одно фишинговое письмо было отправлено с аккаунта ProtonMail (notifier-no-reply[@]protonmail.com.)

В ProtonMail сообщили, что фальшивые адреса хакеров были синхронизированы с реальным доменом. Это, возможно, могло помочь обойти двухфакторную аутентификацию (пользователь вводил пароль на фейковом сайте, а он вводился и на реальном).

Утверждение о том, почему атаку совершили именно сотрудники ГРУ, издание объясняет так: ранее некоторые пользователи уже получали фишинговые письма ProtonMail от группы хакеров, которые известны как APT28/FancyBear/PawnStorm. Они, как пишет The Insider, являются сотрудниками войсковой части ГРУ № 26165. Тогда хакеры использовали сервисы Njalla и Web4Africa, чтобы купить домены. Те же сервисы использовались и при новой атаке.

«В данный момент расследованием фишинговых атак с использованием ProtonMail занимаются голландские и французские правоохранители, так как хакеры в ходе своей деятельности использовали IP адреса этих стран»,— сообщает издание.
 
  • Теги
    взлом гру интернет россия
  • Сверху Снизу