Аналитическое подразделение Google по угрозам (Threat Analysis Group, TAG) сообщило, что заблокировало 36 вредоносных доменов, которыми управляли группы «хакеров по найму» из Индии, России и ОАЭ. Об этом стало известно в четверг, 30 июня 2022 года.
Чем «хакеры по найму» отличаются от продавцов шпионского ПО
По своей роли этот рынок похож на экосистему коммерческого шпионского софта: такие фирмы дают заказчикам возможность проводить целевые атаки не только на корпорации, но и на активистов, журналистов, политиков и других уязвимых пользователей. Разница в модели работы. Покупатели коммерческого шпионского ПО приобретают его у вендора и разворачивают сами, тогда как операторы «взлома по найму» проводят вторжения от лица клиента — так они скрывают и заказчика, и собственную причастность.
«Ландшафт взлома по найму подвижен — как в том, как злоумышленники организуются, так и в широком спектре целей, которые они преследуют в рамках одной кампании по заданию совершенно разных клиентов, — говорится в отчёте директора Google TAG Шейна Хантли. — Одни хакеры открыто рекламируют свои продукты и услуги всем, кто готов платить, другие действуют скрытнее и продают их ограниченному кругу».
Индийская группа: цели от Кипра до Израиля
Одна из недавних кампаний индийского оператора, по данным Google, затронула ИТ-компанию на Кипре, учебное заведение в Нигерии, финтех-компанию на Балканах и торговую компанию в Израиле — это показывает, насколько разнородны жертвы.
За этой группой Google TAG следит с 2012 года и связывает её с чередой атак по краже учётных данных. Цель — логины и пароли от государственных сервисов, аккаунтов Amazon Web Services (AWS) и Gmail. Схема стандартная: жертве приходит целевое фишинговое письмо со ссылкой, а переход по ней открывает поддельную страницу под контролем атакующего, которая перехватывает введённые данные. В числе целей были госструктуры, здравоохранение и телеком в Саудовской Аравии, ОАЭ и Бахрейне.
Эту активность Google TAG приписывает фирме Rebsec. Согласно её заброшенному аккаунту в соцсети, название расшифровывается как Rebellion Securities, а сама компания базируется в индийском городе Амритсар. На своём сайте (на момент публикации закрытом «на обслуживание») фирма также предлагала услуги корпоративного шпионажа.
Российская Void Balaur и группа из ОАЭ
Похожий набор атак по краже учётных данных, нацеленных на журналистов, европейских политиков и некоммерческие организации, связывают с российской группой Void Balaur. Этих кибернаёмников впервые описала компания Trend Micro в ноябре 2021 года. За пять лет группировка, как считается, охотилась за аккаунтами крупных почтовых сервисов — Gmail, Hotmail и Yahoo! — а также региональных провайдеров: abv.bg, mail.ru, inbox.lv и ukr.net.
Третья группа базируется в ОАЭ и связана с первоначальными разработчиками трояна удалённого доступа njRAT (он же H-Worm или Houdini). Как ещё в 2018 году выяснила Amnesty International, эти фишинговые атаки используют приманки со сбросом пароля, чтобы красть учётные данные у целей в государственных, образовательных и политических организациях Ближнего Востока и Северной Африки.
Как злоумышленники закрепляются в почте
После компрометации аккаунта обе группы применяют схожие приёмы, чтобы удержать доступ: выдают OAuth-токен легитимному почтовому приложению вроде Thunderbird, создают пароль приложения (App Password) для входа по IMAP или привязывают Gmail-аккаунт жертвы к почтовому ящику злоумышленника у стороннего провайдера.
Публикация вышла спустя неделю после того, как Google TAG раскрыла подробности об итальянской компании RCS Lab: её инструмент для взлома под названием Hermit использовали против пользователей Android и iOS в Италии и Казахстане.
Источник: The Hacker News.