Hakerske kampanje koje sponzorira država postaju sve složenije te koriste nove strategije
Ruska državna sigurnosna agencija pokreće sve sofisticiranije phishing napade protiv američkih, europskih i ruskih članova civilnog društva, u nekim slučajevima lažno predstavljajući pojedince koji su osobno bliski metama napada, piše u novom izvješću nezavisnih istraživača.
Novo izvješće Citizen Laba na Sveučilištu u Torontu i Access Nowa dolazi nakon što je FBI pokrenuo istragu o navodnim pokušajima iranskih hakera usmjerenih na savjetnika Donalda Trumpa i savjetnike u kampanji Harris-Walz, piše Guardian.
Hakerske kampanje koje sponzorira država – uključujući one kojima se želi utjecati na političke kampanje – nisu nove: Hillary Clinton bila je na meti hakera povezanih s ruskom vladom u mjesecima prije svoje predsjedničke kandidature 2016. Istraživači kažu da napadi povezani s Rusijom postaju sve sofisticiraniji, kako u strategijama socijalnog inženjeringa, tako i u tehničkim aspektima.
Mete nedavnog niza pokušaja napada uključivale su bivšeg američkog veleposlanika u Ukrajini Stevena Pifera i Polinu Machold, rusku vlasnicu izdavačke kuće Proekt Media, koja je provela istrage o ruskom predsjedniku Vladimiru Putinu i čečenskom vođi Ramzanu Kadirovu.
U Piferovom slučaju, istraživači su rekli da je on postao meta nakon 'vrlo vjerodostojnog' razgovora koji je uključivao nekoga tko se lažno predstavlja kao drugi bivši američki veleposlanik kojeg je Pifer poznavao.
Macholdin slučaj na sličan je način slijedio sofisticiraniju metodu napada. S Polinom, koja živi u Njemačkoj nakon što je protjerana iz Rusije u ljeto 2021., u studenom 2023. prvi je put e-poštom kontaktirao kolega iz druge izdavačke kuće s kojim je prije surađivala. Zamolio ju je da pogleda priloženu datoteku, ali privitka nije bilo.
Nekoliko mjeseci kasnije ponovno ju je kontaktirao, ovaj put koristeći Proton Mail, besplatnu i sigurnu uslugu e-pošte koju obično koriste novinari. Aktivirala su se zvona za uzbunu kada je Machold otvorila privitak te e-pošte, koji je izgledao kao Proton Mail te zahtijevao podatke za prijavu. Nazvala je navodni kontakt, koji je rekao da joj nije slao e-poštu.
'Ovako nešto do sad nisam vidjela. Znali su da imam kontakte s tom osobom. Nisam imala pojma iako smatram moram tako jako paziti', rekla je Machold. Machold kaže da je jasno da svatko tko je povezan s ruskom oporbom može biti meta. 'Potrebno im je što više informacija koje mogu dobiti', rekla je.
Istraživači su rekli da je kampanju krađe identiteta koja je bila usmjerena na Machold i Pifera proveo akter 'Coldriver', a više vlada pripisalo ga je ruskoj Federalnoj sigurnosnoj službi (FSB). Drugi akter prijetnje, nazvan 'Coldwastrel', imao je sličan obrazac djelovanja i također se činio fokusiranim na mete koje bi bile od interesa za Rusiju.
'Ova istraga pokazuje da se ruski neovisni mediji i skupine za ljudska prava u egzilu suočavaju s istom vrstom naprednih phishing napada koji ciljaju sadašnje i bivše američke dužnosnike. Ipak, oni imaju mnogo manje resursa da se zaštite, a rizici od ugrožavanja su puno ozbiljniji,' rekla je Natalia Krapiva, viša tehnička pravna savjetnica u Access Now.
Gotovo sve mete koje su razgovarale s istraživačima ostale su anonimne zbog vlastite sigurnosti, ali su opisane kao istaknuti ruski oporbenjaci u egzilu, nevladino osoblje u SAD-u i Europi, financijeri i medijske organizacije. Jedna stvar koja je većini meta zajednička, rekli su istraživači, bila je njihova 'rasprostranjena mreža među osjetljivim zajednicama'.
Najčešća taktika uključivala je pokretanje razmjene e-pošte s osobom koju imitira napadač te koju meta poznaje - traženjem pregleda nekog dokumenta. Priloženi PDF obično se navodno šifrira korištenjem usluge usmjerene na privatnost kao što je Proton Drive, a stranica za prijavu može čak biti unaprijed popunjena ciljnom adresom e-pošte, zbog čega izgleda legitimno. Ako meta unese svoju lozinku i kod od dva faktora, napadač prijetnje može dobiti informacije koje mu se šalju natrag, što mu zauzvrat daje pristup računu e-pošte njegove potencijalne žrtve.
'Čim ovi napadači dobiju vjerodajnice, mislimo da će odmah pristupiti računima e-pošte i svim mrežnim pohranama, poput Google Drivea, kako bi izvukli što više osjetljivih informacija. Postoje neposredni rizici za život i sigurnost, osobito ako se u tim računima nalaze informacije o ljudima koji su još uvijek u Rusiji', rekla je Rebekah Brown, viša istraživačica u Citizen Labu.