Организации в сфере кибербезопасности Access Now и Citizen Lab опубликовали отчет о масштабной фишинговой атаке, жертвами которой стали российские, белорусские и украинские правозащитные организации, международные НПО, работающие в Восточной Европе, независимые СМИ. Одна из двух участвующих в атаке группировок связана с ФСБ. Сейчас известно о более чем 10 целях атак. Среди них — «Проект»*, «Первый отдел»**, бывший посол США в Украине Стивен Пфайфер. Однако эксперты полагают, что реальное число целей может быть больше, не все готовы об этом рассказывать. Анализ охватывает две волны атаки: с 2022 по 2023 год и в 2024 году.
Расследователи считают, что не позднее конца 2021 года поддерживаемые российскими властями хакеры запустили рассылку фишинговых писем либо со взломанных аккаунтов, либо с тех, чьи почтовые адреса почти неотличимы от адресов реальных людей. Атаки были персонализированы, тематика писем касалась повседневной работы человека, например, запланированных мероприятий или финансовых вопросов. В письмах как правило были прикреплены «заблокированные» PDF-файлы со ссылкой для разблокировки. При переходе по ссылке открывалась поддельная страница входа в почтовую систему Proton с формой для ввода логина и пароля. В случае если жертва вводила эти данные, они попадали в распоряжение злоумышленников.
Часть атак была осуществлена хакерской группировкой Coldriver (другие названия Star Blizzard, Callisto), связанной с ФСБ и активизировавшейся после начала войны.
В 2023 году правозащитный проект «Первый отдел» сообщил Access Now и Citizen Lab о фишинговом письме, полученном несколькими международными НКО. Отправитель выдавал себя за сотрудника, использующего платформу Proton Mail. Аккаунт этого же сотрудника в Proton Mail ранее подвергался фишинговой атаке в октябре 2022 года, в результате чего он потерял к нему доступ. Так правозащитники поняли, что автором письма он не является.
В ноябре прошлого года издатель «Проекта» Полина Махольд получила письмо от бывшего партнера. В нем партнер предложил новую идею и переслал файл в формате PDF. Этот документ не открылся с помощью встроенных в почтовые сервисы Gmail и Protonmail расширений сервисов Google Drive и Proton Drive. В последнем случае при попытке открыть файл на экране появилось уведомление с предложением продолжить работу непосредственно в Proton Drive , перейдя по ссылке. В последний момент Полина Махольд заметила, что URL «облачного» хранилища не совпадал с реальным названием домена Proton Drive. Это был фишинговый сайт, а введение личных данных на этой странице привело бы к их потере. «Проект» избежал взлома.
Бывший посол США в Украине Стивен Пайфер был также вовлечен в коммуникацию с якобы другим бывшим американским послом. В сообщении Citizen Lab не уточняется, от чьего имени велась переписка. Однако сразу два бывших американских дипломата — экс-посол в Москве Майкл Макфол и экс-координатор санкционной политики в администрации Барака Обамы Даниель Фрид — публиковали в своих аккаунтах в X призывы не отвечать на письма, которые приходят с адресов на Proton.
Access Now предполагает, что злоумышленники смогли получить несанкционированный доступ к учетным записям электронной почты некоторых жертв. Атака могла нанести большой вред российским и белорусским организациям и независимым СМИ, поскольку в их электронных почтовых ящиках может храниться конфиденциальная информация о личности, деятельности, связях и местонахождении сотрудников. Сведения могут использоваться российскими властями в качестве предлога для присвоения статуса «иностранного агента» или «нежелательной организации», а затем привести к уголовному преследованию и тюремному заключению.
*Признан в России «иностранным агентом» и «нежелательной организацией».
**Признан в России «иностранным агентом».