Google заблокировала десятки доменов «хакеров по найму»

Аналитическое подразделение Google по угрозам (Threat Analysis Group, TAG) сообщило, что заблокировало 36 вредоносных доменов, которыми управляли группы «хакеров по найму» из Индии, России и ОАЭ. Об этом стало известно в четверг, 30 июня 2022 года.

Чем «хакеры по найму» отличаются от продавцов шпионского ПО

По своей роли этот рынок похож на экосистему коммерческого шпионского софта: такие фирмы дают заказчикам возможность проводить целевые атаки не только на корпорации, но и на активистов, журналистов, политиков и других уязвимых пользователей. Разница в модели работы. Покупатели коммерческого шпионского ПО приобретают его у вендора и разворачивают сами, тогда как операторы «взлома по найму» проводят вторжения от лица клиента — так они скрывают и заказчика, и собственную причастность.

«Ландшафт взлома по найму подвижен — как в том, как злоумышленники организуются, так и в широком спектре целей, которые они преследуют в рамках одной кампании по заданию совершенно разных клиентов, — говорится в отчёте директора Google TAG Шейна Хантли. — Одни хакеры открыто рекламируют свои продукты и услуги всем, кто готов платить, другие действуют скрытнее и продают их ограниченному кругу».

Индийская группа: цели от Кипра до Израиля

Одна из недавних кампаний индийского оператора, по данным Google, затронула ИТ-компанию на Кипре, учебное заведение в Нигерии, финтех-компанию на Балканах и торговую компанию в Израиле — это показывает, насколько разнородны жертвы.

За этой группой Google TAG следит с 2012 года и связывает её с чередой атак по краже учётных данных. Цель — логины и пароли от государственных сервисов, аккаунтов Amazon Web Services (AWS) и Gmail. Схема стандартная: жертве приходит целевое фишинговое письмо со ссылкой, а переход по ней открывает поддельную страницу под контролем атакующего, которая перехватывает введённые данные. В числе целей были госструктуры, здравоохранение и телеком в Саудовской Аравии, ОАЭ и Бахрейне.

Эту активность Google TAG приписывает фирме Rebsec. Согласно её заброшенному аккаунту в соцсети, название расшифровывается как Rebellion Securities, а сама компания базируется в индийском городе Амритсар. На своём сайте (на момент публикации закрытом «на обслуживание») фирма также предлагала услуги корпоративного шпионажа.

Российская Void Balaur и группа из ОАЭ

Похожий набор атак по краже учётных данных, нацеленных на журналистов, европейских политиков и некоммерческие организации, связывают с российской группой Void Balaur. Этих кибернаёмников впервые описала компания Trend Micro в ноябре 2021 года. За пять лет группировка, как считается, охотилась за аккаунтами крупных почтовых сервисов — Gmail, Hotmail и Yahoo! — а также региональных провайдеров: abv.bg, mail.ru, inbox.lv и ukr.net.

Третья группа базируется в ОАЭ и связана с первоначальными разработчиками трояна удалённого доступа njRAT (он же H-Worm или Houdini). Как ещё в 2018 году выяснила Amnesty International, эти фишинговые атаки используют приманки со сбросом пароля, чтобы красть учётные данные у целей в государственных, образовательных и политических организациях Ближнего Востока и Северной Африки.

Как злоумышленники закрепляются в почте

После компрометации аккаунта обе группы применяют схожие приёмы, чтобы удержать доступ: выдают OAuth-токен легитимному почтовому приложению вроде Thunderbird, создают пароль приложения (App Password) для входа по IMAP или привязывают Gmail-аккаунт жертвы к почтовому ящику злоумышленника у стороннего провайдера.

Публикация вышла спустя неделю после того, как Google TAG раскрыла подробности об итальянской компании RCS Lab: её инструмент для взлома под названием Hermit использовали против пользователей Android и iOS в Италии и Казахстане.

Источник: The Hacker News.