Журналисты The Insider и Bellingcat стали объектами наиболее изощренной из всех последних фишинговых атак ГРУ. Вместе с ними среди целей оказались не менее десяти других журналистов и сотрудников НКО из России, Европы и США. Атаки имели несколько волн и начались примерно в конце апреля 2019 года. В начале апреля хакеры зарегистрировали 11 доменных имен для того, чтобы маскировать атаки под письма сервиса ProtonMail. Из них в период с 26 апреля по конец июля (когда The Insider и Bellingcat зафиксировали атаку) они успели использовать пять:

my[.]secure-protonmail[.]com (апрель и май)

actions[.]protonmail[.]team (май)

mail[.]protonmail[.]systems (июнь и июль)

mail[.]protonmail[.]sh (июль)

mailprotonmail[.]ch (июль)

Экспертам по кибер-безопасности из ThreatConnect удалось установить еще 6 одновременно зарегистрированных доменных имен, которые так и не были использованы:

mailprotonmail[.]com

protonmail[.]direct

protonmail[.]gmbh

prtn[.]app

protonmail[.]support

prtn[.]xyz

Рассылаемый фишинг представлял собой фейковые предупреждения от лица ProtonMail о подозрительных попытках входа или о взломе аккаунта. Основных типов тем для писем было 8: «Unrecognised connection was blocked», «Unknown connection alert», «Someone knows your Protonmail password», «ProtonMail unusual network activity», «ProtonMail suspicious login», «Keep your ProtonMail account secure», «New login from unusual place» и «Someone exported your encryption keys».

В почте отправитель отражался обычно как support[@]protonmail.ch (действительный адрес ProtonMail), но реальными отправителями (его можно увидеть, например, если нажать «ответить на письмо») были аккаунты с бесплатного почтового сервисе mail.uk — kobi.genobi[@]mail[.]uk and notifysendingservice[@]mail[.]uk.

Однако на ранней стадии атак, в конце апреля, как минимум в одном случае фишинговое письмо было отправлено с аккаунта, зарегистрированного на самого protonmail notifier-no-reply[@]protonmail.com.

Текст фишинговых писем и по содержанию и по оформлению был очень похож на реальные предупреждения ProtonMail и содержал в себе гиперссылку, пройдя по которой пользователь должен был перейти в настройки, чтобы поменять пароль и «защитить» свой аккаунт.

Кликнув на ссылку, пользователь, судя по всему, попадал на фишинговый сайт, выглядящий, как точная копия ProtonMail, где ему предлагалось ввести пароль. До сих пор неясно, удалось ли хакерам скачать содержимое какого-либо из почтовых ящиков, но известно, что как минимум в одном из случаев им удалось узнать с какими почтовыми адресами вел переписку объект их атаки.

Руководство ProtonMail назвало эту атаку наиболее изощренной из всех, с которыми приходилось сталкиваться компании. Также в компании пояснили, что скрипты фальшивых доменов были синхронизированы с реальным доменом ProtonMail, что в теории могло бы позволять обходить двухфакторную аутентификацию (то есть, если бы пользователь вводил код второго фактора на фишинговом сайте, этот же код автоматически вводился бы и на реальном). Правда, неизвестно, удалось ли хакерам использовать этот прием.

Вот пример одного из фишинговых писем:

При этом, когда человек видел письмо в своем почтовом ящике, оно выглядело так, будто бы пришло с адреса support @ protonmail. com, реальный адрес можно было увидеть лишь, например, если выбрать опцию «ответить».

Этот недостаток дизайна оказался серьезной уязвимостью prtotonmail. Еще более непонятно, как сервис, гордящийся своей безопасностью, не отфильтровал адреса, которые могут быть использованы для фишинга.

Пока неясно, был ли хотя бы один случай, когда хакерам удалось завладеть доступом к аккаунту больше, чем на пару минут, и неясно, что за это время они успевали сделать. Подтвержденных случаев перехвата контроля со сменой пароля пока нет, и похоже, это не являлось целью взломщиков. Зато ясно, что как минимум в одном случае они получили доступ к списку адресов, с которыми переписывался их объект, и как минимум один раз они успели загрузить текст переписки (при этом, судя по всему, получить содержимое вложений им не удалось).

Среди целей хакеров были журналисты-расследователи, пишущие о России, члены НКО, действующие в России, а также аналитики, фокусирующиеся на ситуации в России. Аккаунты своих целей хакеры узнавали после того, как получали доступ к первой жертве, и затем использовали ее контакт-лист. При этом они посылали письма не всем, а только тем, кто представлял для них интерес.

В другом случае те же хакеры послали фишинговое письмо всем участникам семинара, где журналисты-расследователи и члены НКО обсуждали деятельность российских спецслужб за рубежом (причем список участников публично не афишировался).

Откуда известно, что это хакеры из ГРУ

Ранее некоторые из получателей фишинговых писем ProtonMail уже получали фишинг от группировки хакеров известной как APT28/FancyBear/PawnStorm, члены которой являются служащими войсковой части ГРУ № 26165. Иногда эти письма были довольно примитивными и пытались имитировать предупреждения от Gmail о хакерской атаке с предложением поменять пароль. Но ради некоторых из своих мишеней ГРУшники прикладывали много дополнительных усилий. Однажды они даже написали проект фейкового законопроекта украинской Рады (правда с ошибками в языке) и разослали его под видом документа, который попал в руки журналистов.

В этот раз группировка так же, как и в прошлые разы использовала сервисы Njalla и Web4Africa для покупки доменов. Специалисты по кибер-безопасности обнаружили сайт, который группировка использовала не для фишинга, а для разработки клона ProtonMail, и там в логах обнаружили фразу Let’s get it started.

Во-первых это не самый традиционный английский (носитель языка сказал бы скорее «Let’s get started», а Let's Get It Started — это название и припев известной песни, откуда, скорее всего, хакеры эту формулировку и взяли), а во-вторых, такая же кривая фраза используется в разделе FAQ сайта хакера Guccifer 2.0, который общался с прессой от лица Fancy Bear (неумело пытаясь выдавать себя за румына).

В данный момент расследованием фишинговых атак с использованием ProtonMail занимаются голландские и французские правоохранители, так как хакеры в ходе своей деятельности использовали IP адреса этих стран.