Twoje konto Google jest zagrożone. Mogą je przejąć Rosjanie
Cyberprzestępcy powiązani z Rosją stosują sprytne metody, aby przejąć kontrolę nad kontem Google atakowanej osoby. W tym celu wykorzystują hasła aplikacji Google (ASP — Application Specific Passwords).
Szczegóły kampanii ujawniły Google Threat Intelligence Group (GTIG) oraz Citizen Lab. Aktywność hakerów polega między innymi na podszywaniu się pod Departament Stanu USA.
Od kwietnia do początku czerwca 2025 roku hakerzy atakowali wybitnych akademików i krytyków Rosji, często budując z nimi obszerne relacje i stosując spersonalizowane przynęty, aby przekonać cel do ustawienia haseł specyficznych dla aplikacji (ASP). Gdy cel udostępni kod ASP, atakujący uzyskują trwały dostęp do skrzynki pocztowej ofiary.
Google przypisuje tę aktywność grupie znanej jako UNC6293, która jest prawdopodobnie powiązana z rosyjską grupą hakerską sponsorowaną przez państwo, czyli APT29 (znana również jako BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, ICECAP i The Dukes).
Cierpliwość cyberprzestępców
Proces inżynierii społecznej rozwija się przez kilka tygodni, mając na celu zbudowanie zaufania z ofiarami, zamiast wywoływać poczucie presji czy pilności, które mogłyby wzbudzić podejrzenia. W tym celu wysyłane są niegroźne, phishingowe e-maile udające zaproszenia na spotkania. Co ciekawe, w DW takich wiadomości dodają nie mniej niż cztery fikcyjne adresy z domeną "@state.gov", aby nadać wiadomości wiarygodność.
To wskazuje na metodyczne planowanie ataków, mających na celu oszukanie ofiar, aby te udostępniły 16-cyfrowy kod, który daje przeciwnikowi pozwolenie na dostęp do ich skrzynki pocztowej pod pretekstem umożliwienia "bezpiecznej komunikacji między pracownikami wewnętrznymi a partnerami zewnętrznymi".
Konta Google na celowniku
Google opisuje hasła aplikacji jako sposób na to, aby mniej bezpieczna aplikacja lub urządzenie mogły uzyskać dostęp do konta Google użytkownika, które ma włączone dwuskładnikowe uwierzytelnianie (2FA).
Kiedy korzystasz z weryfikacji dwuetapowej, niektóre mniej bezpieczne aplikacje lub urządzenia mogą zostać zablokowane przed dostępem do Twojego konta Google. Hasła aplikacji są sposobem na umożliwienie zablokowanej aplikacji lub urządzeniu dostępu do Twojego konta Google.
Początkowe wiadomości mają na celu wywołanie reakcji od celu, aby umówić spotkanie. Następnie ofiary otrzymują dokument PDF, który zawiera listę kroków do utworzenia hasła aplikacji. Ma to rzekomo służyć bezpiecznemu dostępowi do fałszywego środowiska chmurowego Departamentu Stanu i udostępnieniu kodu hakerom. Po skonfigurowaniu klienta poczty według przesłanych wytycznych, atakujący uzyskują dostęp do skrzynki e-mailowej ofiary.
