Mastodon
Connect with us

Hacking

Ρώσοι χάκερ παρακάμπτουν το 2FA μέσω εφαρμογής Gmail

Hacking

Κρίσιμες ευπάθειες στο Progress ShareFile

Hacking

Σύγκριση με άλλες ομάδες ransomware Η τακτική της «μάσκας»

Hacking

Ρώσοι χάκερ παρακάμπτουν το 2FA μέσω εφαρμογής Gmail

Ρώσοι χάκερ παρακάμπτουν το 2FA μέσω app passwords, στοχεύοντας ακαδημαϊκούς και επικριτές της Ρωσίας.

Published

10 months ago

on

Ρώσοι χάκερ παρακάμπτουν το 2FA μέσω εφαρμογής Gmail

Περιεχόμενα
Η νέα απειλή από την APT29
Η εκμετάλλευση των app passwords
Στόχος: Ακαδημαϊκοί και επικριτές της Ρωσίας
Η τεχνική της κοινωνικής μηχανικής
Η αντίδραση της Google και οι επιπτώσεις
Η σύνδεση με άλλες επιθέσεις

Η νέα απειλή από την APT29

Ένας νέος τύπος κυβερνοεπίθεσης από την ομάδα χάκερ APT29, γνωστή και ως Cozy Bear, έχει προκαλέσει ανησυχία στους ειδικούς ασφαλείας. Αυτή η ομάδα, που φέρεται να συνδέεται με το ρωσικό κράτος, χρησιμοποιεί μια εξελιγμένη τεχνική κοινωνικής μηχανικής για να αποκτήσει πρόσβαση σε λογαριασμούς Gmail παρακάμπτοντας την επαλήθευση δύο παραγόντων (2FA).

Η εκμετάλλευση των app passwords

Η επίθεση βασίζεται στη χρήση των λεγόμενων application specific passwords (app passwords), μια δυνατότητα που παρέχει η Google για την πρόσβαση σε λογαριασμούς μέσω λιγότερο ασφαλών εφαρμογών. Οι επιτιθέμενοι πείθουν τα θύματα να δημιουργήσουν αυτά τα ειδικά συνθηματικά, τα οποία στη συνέχεια χρησιμοποιούν για να αποκτήσουν μόνιμη πρόσβαση στο email του θύματος.

Στόχος: Ακαδημαϊκοί και επικριτές της Ρωσίας

Η εκστρατεία στοχεύει κυρίως ακαδημαϊκούς και επικριτές της Ρωσίας. Σύμφωνα με την Google Threat Intelligence Group και το Citizen Lab, οι επιτιθέμενοι προσπαθούν να μιμηθούν το Υπουργείο Εξωτερικών των Η.Π.Α. για να πείσουν τα θύματα να δημιουργήσουν τα app passwords. Αυτή η διαδικασία περιλαμβάνει την αποστολή πλαστών προσκλήσεων για συναντήσεις, με πολλαπλές ψεύτικες διευθύνσεις email, για να προσδώσουν αξιοπιστία.

Η τεχνική της κοινωνικής μηχανικής

Η τεχνική κοινωνικής μηχανικής που χρησιμοποιείται είναι ιδιαίτερα εξελιγμένη. Οι επιτιθέμενοι επενδύουν χρόνο για να δημιουργήσουν σχέσεις εμπιστοσύνης με τα θύματα, αποφεύγοντας τις πιέσεις που θα μπορούσαν να προκαλέσουν υποψίες. Το μήνυμα περιλαμβάνει οδηγίες για τη δημιουργία ενός app password, το οποίο οι επιτιθέμενοι χρησιμοποιούν για να αποκτήσουν πρόσβαση στο email του θύματος.

Η αντίδραση της Google και οι επιπτώσεις

Η Google έχει ήδη λάβει μέτρα για την προστασία των λογαριασμών που έχουν παραβιαστεί. Παράλληλα, παρακολουθεί και μια δεύτερη εκστρατεία με ουκρανικά θέματα. Οι επιτιθέμενοι χρησιμοποιούν οικιακούς διακομιστές proxy και VPS για να αποφύγουν την ανίχνευση.

Η σύνδεση με άλλες επιθέσεις

Η ομάδα UNC6293, που συνδέεται με την APT29, έχει πραγματοποιήσει παρόμοιες επιθέσεις στο παρελθόν, χρησιμοποιώντας τεχνικές όπως το device code phishing. Αυτή η τεχνική περιλαμβάνει την αποστολή ενός κακόβουλου συνδέσμου που, όταν πατηθεί, επιτρέπει την εγγραφή της συσκευής του επιτιθέμενου στον λογαριασμό του θύματος.

Η Microsoft έχει παρατηρήσει επίσης επιθέσεις από αυτήν την ομάδα, όπου χρησιμοποιούνται μηνύματα τρίτων εφαρμογών για την απόκτηση κωδικών εξουσιοδότησης, επιτρέποντας την εγγραφή της συσκευής του επιτιθέμενου στον λογαριασμό του θύματος.

Related Topics:
Advertisement