Група російських хакерів навчилася обходити багатофакторну аутентифікацію Google, отримуючи доступ до Gmail-акаунтів через спеціально створені паролі для додатків.

Про це повідомляє РБК-Україна з посиланням на профільний сайт Bleeping Computer.

Хакери використовували продумані схеми соціальної інженерії, видаючи себе за представників Держдепартаменту США. Метою зловмисників стали відомі дослідники і критики російської влади, зокрема експерт із російської дезінформації Кієр Джайлс. Атаки відбувалися з квітня до початку червня 2025 року.

Кіберзлочинці розсилають ретельно підготовлені листи, нібито від імені співробітника Держдепу Клоді С. Вебер. Вебер, із запрошенням на "приватну онлайн-зустріч". Хоча лист надсилається зі звичайного Gmail-акаунта, у копії вказано справжні адреси @state.gov, що робить повідомлення візуально більш правдоподібним.

Згодом жертву просять створити пароль для стороннього застосунку та передати його "адміністраторам платформи". Таким чином, зловмисники отримують повний доступ до поштового акаунту користувача.

За даними GTIG, за атакою стоїть група, відстежувана як UNC6293, яка, ймовірно, пов'язана з APT29 - підрозділом Служби зовнішньої розвідки РФ (СЗР), також відомим як Cozy Bear, Nobelium або Midnight Blizzard. Ця група діє з 2008 року і раніше була причетна до атак на урядові установи, дослідницькі центри та аналітичні організації.

Інфраструктура кампанії включала анонімізуючі сервіси - проксі та VPS-сервери. Крім тем, пов'язаних із Держдепом США, хакери використовували приманки, пов'язані з Україною і Microsoft.

Інструкція UNC6293 зі створення та передачі пароля для стороннього застосунку (фото: The Citizen Lab)

Фахівці радять користувачам, які можуть бути ціллю атак (включно з журналістами, дослідниками, правозахисниками), зареєструватися в Програмі розширеного захисту Google (Advanced Protection Program). Вона повністю блокує можливість створення пароля для конкретного застосунку та підвищує рівень безпеки акаунта.

Вас може зацікавити:

• Україна фіксує тисячі кібератак щомісяця за даними Мінцифри
• Хакери ГУР здійснили атаку на найбільший інтернет-провайдер Сибіру
• Що буде, якщо назавжди втратити доступ до Google-акаунту