Хакеры взялись за воровство данных чиновников из России

Масштабную атаку против сотрудников госорганов России обнаружили эксперты британской компании по информационной безопасности Cyjax, 22 сентября пишет «Коммерсант».

Согласно исследованию экспертов, злоумышленники создают сайты, имитирующие вход в электронную почту для чиновников.

Полученные данные впоследствии могут использоваться для дальнейшей атаки на ведомства или для их продажи на теневом рынке. Эксперты приводят разные версии направленности атак — от политических провокаций до банального фишинга данных.

Среди атакуемых организаций — Российская академия наук (РАН), почтовый сервис Mail.ru, а также госструктуры более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.

Эксперты компании проанализировали более 50 доменов в рамках этой схемы и выяснили, что большая часть из них стала появляться с весны 2020 года.

Директор экспертного центра безопасности Positive Technologies Алексей Новиков сообщил, что в настоящий момент времени получила популярность техника, когда злоумышленники рассылают сотрудникам письма о том, что, например, у компании появился новый почтовый сервер, на котором нужно зарегистрироваться по ссылке.

Получив логины и пароли, злоумышленники могут подключаться к почтовому ящику и конфиденциальным документам в письмах сотрудника. Хакеры могут использовать полученный доступ для дальнейшей атаки, например, отправить письмо с вредоносным вложением в адрес партнеров компании.

В Cyjax считают, что отсутствие немедленной финансовой выгоды от атаки и направленность ее на определенный регион указывает на то, что за кибератакой может стоять некая прогосударственная группировка.

Для фишинговых сайтов злоумышленники часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей, сказал Алексей Новиков.

«Это позволяет им усложнить поиски владельца сайта», — отметил он.

Сооснователь проекта StopPhish Юрий Другач отметил, что такие действия являются провокацией.

«Мотивом кампании может быть провокация против России на тему того, что мы взламываем своих соседей», — сказал Другач.

Эксперт уточнил, на провокацию указывает то, что некоторые из доменов зарегистрированы в июле и серверы размещены на российском хостинге.

Другач отмечает разнородность атак, он предполагает, что за ними стоят несколько группировок мошенников. Эксперт отметил, что у РАН существует шесть поддельных сайтов, на которых злоумышленники не просто занимаются кражей данных, но и устанавливают вредоносные дополнения в браузер.

Напомним, Россия заявила, что она готова предоставить данные США и Германии о вмешательстве в процесс выборов в Госдуму.

Пресс-служба посольства РФ в США заявила о том, что США должны пояснить кибератаки совершенные с американской территории, зафиксированные во время выборов в Госдуму РФ. 50% от всех кибератак зафиксированы именно с территории США, они были направлены на дискредитацию избирательной системы в России.

Представитель Центральной избирательной комиссии РФ Александр Сокольчук заявил, что для хакерских атак на интернет-ресурсы Центральной избирательной комиссии РФ использовались иностранные IP-адреса.

Отметим, глава комиссии Госдумы по расследованию фактов вмешательства иностранных государств во внутренние дела России Василий Пискарев заявил, что западные медиа развернули кампанию по дискредитации российских выборов задолго до их начала.

Глава думской комиссии отметил, что значительное число негативных публикаций о российских выборах было сделано в США, Великобритании, Германии, Франции и Чехии.

По словам Пискарева, западные СМИ и некоммерческие организации «массово распространяли фейки о выборах». К этому также подключались НКО-иноагенты в России.