Специалисты Google Threat Analysis Group (TAG) опубликовали отчёт об отправленных за 2021 год уведомлений о попытках взлома со стороны госструктур. В общей сложности с января по октябрь TAG разослала более 50 тысяч предупреждений, большая часть которых связана с деятельностью группировок Fancy Bear и Charming Kitten. Это на 33% больше, чем в прошлом году.
Google предупреждает пользователей ещё до того, как хакеры взломают их аккаунты. Пакет уведомлений отправляется на момент обнаружения попыток фишинга, запущенных из инфраструктур, связанных с известными проправительственными группировками. По словам специалистов TAG, эти уведомления намеренно отправляются заранее и большими партиями, чтобы гарантировать, что субъекты угрозы не смогут определить алгоритмы и стратегии защиты. Чаще всего уведомления получают активисты, журналисты, государственные чиновники или люди, работающие в структурах национальной безопасности.
По информации компании, в день TAG отслеживает более 270 целевых или поддерживаемых правительством групп злоумышленников из более чем 50 стран. В своём отчёте специалисты обратили особое внимание на APT38 (Fancy Bear), которую связывают с российскими спецслужбами, и иранскую группировку APT35 (Charming Kitten). На Fancy Bear пришлось около 86 % всех предупреждений, отправленных в сентябре (14 тысяч уведомлений). Все фишинговые письма от этой группировки были заблокированы.
Иранские хакеры Charming Kitten занимались захватом учётных записей, распространением зловредов и координацией шпионских кампаний по сбору конфиденциальной информации. В начале года группировка взломала сайт одного из британских университетов, чтобы завладеть их учётными записями. Пользователей просили авторизоваться через Gmail, Hotmail, Yahoo и другие платформы для участия в фейковом семинаре.
Charming Kitten устанавливали вредоносные программы через фейковое приложение VPN-сервиса. В мае прошлого года хакеры пытались распространять его через Play Store, но Google быстро обнаружила и удалила приложение. Эта же шпионская программа появилась на сторонних сайтах в июле этого года. Кроме того, иранская группировка научилась обходить системы обнаружения и выдавать себя за официальных представителей мероприятий, таких как Munich Security и Think-20 в Италии. Они отправляют письма якобы от организаторов мероприятий и, если пользователи отвечают, направляют им фишинговые ссылки. При рассылке зловредов хакеры пользуются преимущественно услугами сервисов Dropbox, Microsoft и Google-диск.
Одним из новых методов стало использование Telegram API для уведомления о прошедшей атаке. Хакеры встраивают javascript в фишинговые страницы, чтобы настроить Telegram-бота на отправку уведомлений. В результате злоумышленники получают целый набор данных, таких как IP-адрес. Обнаруженный бот уже удалён.
Google напоминает пользователям о необходимости заботиться о сохранности своих персональных данных, подключая современные методы защиты аккаунтов, например, двухфакторную аутентификацию. Растущая активность хакерских группировок обязывает пользователей принимать дополнительные меры защиты.
