Μεγέθυνση κειμένου
Οι κρατικά χρηματοδοτούμενες εκστρατείες hacking εξελίσσονται σε στρατηγικές κοινωνικής μηχανικής
Η κρατική υπηρεσία ασφαλείας της Ρωσίας εξαπολύει ολοένα και πιο εξελιγμένες επιθέσεις ηλεκτρονικού phishing (ψαρέματος) εναντίον μελών της αμερικανικής, ευρωπαϊκής και ρωσικής κοινωνίας των πολιτών, σε ορισμένες περιπτώσεις υποδυόμενη άτομα που βρίσκονται προσωπικά κοντά στους στόχους των επιθέσεων, σύμφωνα με νέα έρευνα ερευνητών ασφαλείας.
Η νέα έκθεση του Citizen Lab του Πανεπιστημίου του Τορόντο και της Access Now έρχεται την ώρα που το FBI έχει ξεκινήσει ξεχωριστά έρευνα για ύποπτες απόπειρες χάκινγκ από το Ιράν με στόχο έναν σύμβουλο του Ντόναλντ Τραμπ και συμβούλους της προεκλογικής εκστρατείας Χάρις-Γουόλτς.
Οι εκστρατείες χάκινγκ που χρηματοδοτούνται από το κράτος -συμπεριλαμβανομένων εκείνων που επιδιώκουν να επηρεάσουν πολιτικές εκστρατείες- δεν είναι καινούργιες: Η Χίλαρι Κλίντον έγινε στόχος χάκερς που συνδέονταν με τη ρωσική κυβέρνηση τους μήνες πριν από την αποτυχημένη προεδρική της υποψηφιότητα το 2016.
Ωστόσο, οι ερευνητές λένε ότι οι επιθέσεις που συνδέονται με το ρωσικό κράτος γίνονται όλο και πιο εξελιγμένες, τόσο σε στρατηγικές social engineering (κοινωνικής μηχανικής) όσο και σε τεχνικές πτυχές.
Στους στόχους της πρόσφατης σειράς απόπειρων επιθέσεων περιλαμβάνονται ο πρώην πρεσβευτής των ΗΠΑ στην Ουκρανία, Στίβεν Πάιφερ, και η Πολίνα Ματσόλντ, η εξόριστη Ρωσίδα εκδότρια της οποίας ο ειδησεογραφικός οργανισμός Proekt Media είχε διεξάγει έρευνες υψηλού προφίλ για τον Ρώσο πρόεδρο Βλαντίμιρ Πούτιν και τον ηγέτη της Τσετσενίας Ραμζάν Καντίροφ.
Στην περίπτωση του Πάιφερ, οι ερευνητές δήλωσαν ότι στοχοποιήθηκε μετά από μια «εξαιρετικά αξιόπιστη» ανταλλαγή που αφορούσε κάποιον που παρίστανε έναν άλλο πρώην πρέσβη των ΗΠΑ, τον οποίο γνώριζε ο Πάιφερ.
Διαβασε ακομα
Ο σκοτεινός κόσμος του doxing για λεφτάΗ περίπτωση της Ματσόλντ ακολούθησε ομοίως μια πιο εξελιγμένη μέθοδο επίθεσης. Η εκδότρια, η οποία ζει στη Γερμανία αφού απελάθηκε από τη Ρωσία το καλοκαίρι του 2021, ήρθε για πρώτη φορά σε επαφή τον Νοέμβριο του 2023 μέσω ηλεκτρονικού ταχυδρομείου από έναν ομόλογό της σε έναν άλλο εκδότη με τον οποίο είχε συνεργαστεί στο παρελθόν.
Της ζήτησε να δει ένα συνημμένο αρχείο, αλλά δεν υπήρχε συνημμένο αρχείο. Εκείνη απάντησε ότι έλειπε. Λίγους μήνες αργότερα, επικοινώνησε και πάλι μαζί της, αυτή τη φορά χρησιμοποιώντας μια θυρίδα στο Protonmail, μια δωρεάν και ασφαλή υπηρεσία ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται συνήθως από δημοσιογράφους.
Ο συναγερμός άρχισε να χτυπάει, είπε, όταν ένα συνημμένο αρχείο σε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου, το οποίο άνοιξε και φαινόταν να μοιάζει με drive του Protonmail, απαιτούσε στοιχεία σύνδεσης. Τηλεφώνησε στον σύνδεσμο, ο οποίος είπε – με σοκ – ότι δεν της είχε στείλει email.
«Δεν είχα ξαναδεί κάτι τέτοιο. Ήξεραν ότι είχα επαφές με αυτό το άτομο. Εγώ δεν είχα ιδέα, παρόλο που θεωρώ τον εαυτό μου σε υψηλή επιφυλακή», δήλωσε η Ματσόλντ.
Η ίδια δήλωσε ότι ήταν σαφές ότι οποιοσδήποτε συνδέεται με τη ρωσική αντιπολίτευση θα μπορούσε να αποτελέσει στόχο. «Χρειάζονται όσες περισσότερες πληροφορίες μπορούν να πάρουν», είπε.
Οι ερευνητές δήλωσαν ότι η εκστρατεία phishing που στόχευσε τους Ματσόλντ και Πάιφερ εκτελέστηκε από έναν φορέα απειλών που ονόμασαν Coldriver και έχει αποδοθεί στην Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB) από πολλές κυβερνήσεις.
Ένας δεύτερος δράστης απειλών, που ονομάζεται Coldwastrel, είχε παρόμοιο μοτίβο στόχευσης και φάνηκε επίσης να επικεντρώνεται σε στόχους που θα ενδιέφεραν τη Ρωσία.
«Αυτή η έρευνα δείχνει ότι τα ρωσικά ανεξάρτητα μέσα ενημέρωσης και οι ομάδες ανθρωπίνων δικαιωμάτων στην εξορία αντιμετωπίζουν τον ίδιο τύπο προηγμένων επιθέσεων phishing που στοχεύουν νυν και πρώην αξιωματούχους των ΗΠΑ.
Ωστόσο, έχουν πολύ λιγότερους πόρους για να προστατευτούν και οι κίνδυνοι παραβίασης είναι πολύ σοβαρότεροι», δήλωσε η Νατάλια Κραπίβα, ανώτερη νομική σύμβουλος τεχνολογίας στην Access Now.
Σχεδόν όλοι οι στόχοι που μίλησαν στους ερευνητές παρέμειναν ανώνυμοι για την ασφάλειά τους, αλλά περιγράφηκαν ως εξέχουσες προσωπικότητες της εξόριστης ρωσικής αντιπολίτευσης, μη κυβερνητικό προσωπικό στις ΗΠΑ και την Ευρώπη, χρηματοδότες και οργανώσεις μέσων ενημέρωσης. Ένα κοινό χαρακτηριστικό των περισσότερων στόχων, δήλωσαν οι ερευνητές, ήταν τα «εκτεταμένα δίκτυα μεταξύ ευαίσθητων κοινοτήτων».
Η πιο συνηθισμένη τακτική που παρατηρήθηκε περιλάμβανε την έναρξη ανταλλαγής ηλεκτρονικού ταχυδρομείου με τον στόχο, μεταμφιεσμένος σε πρόσωπο που γνωρίζει ο στόχος, ζητώντας από τον στόχο να εξετάσει ένα έγγραφο.
Ένα συνημμένο PDF συνήθως ισχυρίζεται ότι είναι κρυπτογραφημένο με τη χρήση μιας υπηρεσίας που εστιάζει στην προστασία της ιδιωτικής ζωής, όπως το ProtonDrive, και μια σελίδα σύνδεσης μπορεί ακόμη και να είναι προσυμπληρωμένη με τη διεύθυνση ηλεκτρονικού ταχυδρομείου του στόχου, κάνοντάς την να φαίνεται νόμιμη.
Εάν ο στόχος εισάγει τον κωδικό πρόσβασής του και έναν κωδικό δύο παραγόντων, η απειλή επιτιθέμενου μπορεί στη συνέχεια να λάβει πληροφορίες που του αποστέλλονται πίσω, οι οποίες με τη σειρά τους του δίνουν πρόσβαση στο λογαριασμό ηλεκτρονικού ταχυδρομείου του στόχου.
«Μόλις αυτοί οι επιτιθέμενοι αποκτήσουν στοιχεία πρόσβασης, πιστεύουμε ότι θα εργαστούν αμέσως για να αποκτήσουν πρόσβαση σε λογαριασμούς ηλεκτρονικού ταχυδρομείου και σε κάθε online αποθηκευτικό χώρο, όπως το Google Drive, για να αποσπάσουν όσο το δυνατόν περισσότερες ευαίσθητες πληροφορίες. Υπάρχουν άμεσοι κίνδυνοι για τη ζωή και την ασφάλεια, ειδικά αν σε αυτούς τους λογαριασμούς υπάρχουν πληροφορίες που αφορούν άτομα που βρίσκονται ακόμη στη Ρωσία», δήλωσε η Ρεμπέκα Μπράουν, ανώτερη ερευνήτρια στο Citizen Lab.
Με πληροφορίες από Guardian
Ακολουθήστε το pride.gr στο Google News και ενημερωθείτε πρώτοι
Related
Νεοτερα
