Группа российских хакеров научилась обходить многофакторную аутентификацию Google, получая доступ к Gmail-аккаунтам через специально созданные пароли для приложений.
Об этом сообщает РБК-Украина со ссылкой на профильный сайт Bleeping Computer.
Хакеры использовали продуманные схемы социальной инженерии, выдавая себя за представителей Госдепартамента США. Целью злоумышленников стали известные исследователи и критики российской власти, в том числе эксперт по российской дезинформации Киер Джайлс. Атаки происходили с апреля по начало июня 2025 года.
Как работает атака
Киберпреступники рассылают тщательно подготовленные письма, якобы от имени сотрудника Госдепа Клоди С. Вебер, с приглашением на "приватную онлайн-встречу". Хотя письмо отправляется с обычного Gmail-аккаунта, в копии указаны настоящие адреса @state.gov, что делает сообщение визуально более правдоподобным.
Впоследствии жертву просят создать пароль для стороннего приложения и передать его "администраторам платформы". Таким образом, злоумышленники получают полный доступ к почтовому аккаунту пользователя
Кто за этим стоит
По данным GTIG, за атакой стоит группа, отслеживаемая как UNC6293, которая, вероятно, связана с APT29 — подразделением Службы внешней разведки РФ (СВР), также известным как Cozy Bear, Nobelium или Midnight Blizzard. Эта группа действует с 2008 года и ранее была причастна к атакам на правительственные учреждения, исследовательские центры и аналитические организации.
Инфраструктура кампании включала анонимизирующие сервисы — прокси и VPS-серверы. Помимо тем, связанных с Госдепом США, хакеры использовали приманки, связанные с Украиной и Microsoft.
Инструкция UNC6293 по созданию и передаче пароля для стороннего приложения (фото: The Citizen Lab)
Как защититься
Специалисты советуют пользователям, которые могут быть целью атак (включая журналистов, исследователей, правозащитников), зарегистрироваться в Программе расширенной защиты Google (Advanced Protection Program). Она полностью блокирует возможность создания пароля для конкретного приложения и повышает уровень безопасности аккаунта.
Вас может заинтересовать:
- Украина фиксирует тысячи кибератак каждый месяц по данным Минцифры
- Хакеры ГУР совершили атаку на крупнейший интернет-провайдер Сибири
- Что будет, если навсегда потерять доступ к Google-аккаунту
