Хакеры совершили кибератаку на сотрудников российских госведомств

В Cyjax отметили, что на данный момент активны 15 сайтов, имитирующие порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики из различных стран мира.

В Mail.ru журналистам рассказали, что мониторят появление фишинговых сайтов и мошеннических писем, а также «своевременно реагируют на подобные инциденты». В почте Mail.ru работает антиспам-система, адаптирующаяся к новым сценариям спама, в том числе фишингового.

По словам экспертов, главной целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих. Возможно, хакеры распространяют ссылки на эти страницы с помощью фишинговых рассылок, но образцов подобных писем в Cyjax не нашли.

Директор экспертного центра безопасности Positive Technologies Алексей Новиков отметил, что сетевые преступники часто рассылают письма о том, что, например, у компании появился новый почтовый сервер, на котором надо зарегистрироваться по ссылке – это очень популярная техника. По его словам, заполучив логины и пароли, хакеры могут подключаться к почтовому ящику и завладеть конфиденциальными документами, содержащимися в письмах сотрудников. Они также могут использовать полученный доступ для продолжения атаки: отправить письмо с вредоносным ПО партнерам компании.

В Cyjax считают, что если учитывать отсутствие моментальной финансовой выгоды от атаки и направленность на Россию, а также ее стран-соседей, за ней может стоять прогосударственная группировка.

Сооснователь проекта StopPhish Юрий Другач думает, что мотивом этой кампании может являться провокация против РФ на тему того, что Москва взламываем своих соседей. На провокацию также указывает то, что некоторые из доменов были зарегистрированы в июле и серверы размещены на российском хостинге.

Алексей Новиков в свою очередь добавил, что для фишинговых сайтов хакеры часто регистрируют сервер в одной стране, IP-адрес — в другой, а домен — в третьей. Именно такой подход позволяет им усложнить поиски владельца сайта.

Юрий Другач также отметил разнородность атак, предположив, что за ними стоят несколько хакерских группировок. Например, у РАН шесть поддельных сайтов, на которых сетевые преступники не просто занимаются фишингом, но и устанавливают вредоносные дополнения в браузер.

Между тем, в России выросло число целевых хакерских атак на научно-исследовательские институты (НИИ). Приоритетом у хакеров, которые трудятся на иностранные государства, являются НИИ, работающие на военными и авиационными проектами и над вакцинами от коронавируса. При этом сами атаки направлены не только на получение данных, но и на уничтожение критической инфраструктуры.