Citizen Lab: британского эксперта по российской дезинформации взломали с помощью письма под видом «приглашения от Госдепа»

Британский эксперт по российским дезинформационным кампаниям и сотрудник аналитического центра Chatham House Кир Джайлс стал жертвой хакерской атаки. Об этом говорится в докладе канадской лаборатории Citizen Lab.

В мае 2025 года Джайлс получил на Gmail-почту письмо от человека, который назвался сотрудником Госдепа США Claudie S. Weber и попросил эксперта о консультации.

При обсуждении даты встречи неизвестный отправил PDF-файл с инструкцией по регистрации на платформе MS DoS Guest Tenant — в «тщательно оформленном документе» содержались поддельная символика Госдепа и подробные инструкции по созданию пароля для приложения (ASP).

«Цель обмана — убедить Джайлса, будто передача ASP нужна для подключения к защищенной системе Госдепа. В действительности, ASP дает полный доступ к почтовому аккаунту», — говорится в докладе.

По словам Джайлса, переписка с злоумышленников продолжалась несколько недель, а его собеседник «постоянно адаптировал ответы».

Позже Google обнаружила попытку хакерской атаки и заблокировала фальшивый электронный адрес. Джайлс заметил попытку входа в свой аккаунт 4 июня.

Центр киберразведки Google (GTIG) идентифицировал хакера как UNC6293, который связан с Россией и с «низкой долей вероятности» ассоциируется с хакерской группой APT29, также известной как Cozy Bear.

«GTIG также выявила вторую кампанию с аналогичными методами, включая использование украинской тематики», — отмечают в Citizen Lab.

Эксперты подчеркивают, что атака на Джайлса — «первый зафиксированный случай, когда ASP стали мишенью социальной инженерии».

В октябре 2024 года Министерство юстиции США сообщило об изъятии 41 домена, которые использовались хакерами для фишинговых атак на российских оппозиционеров и журналистов. Одновременно корпорация Microsoft подала иск о блокировке еще 66 доменов, связанных с теми же хакерами.

Как обезопасить себя от фишинга

1. Настройте двухфакторную аутентификацию. Да, хакеры могут обманом вынудить жертву ввести код, но это первый, самый базовый шаг. Для организаций в зоне риска у почтовых сервисов есть специальные программы по усиленной защите от подложных имейлов.

2. Проверяйте все адреса входящих писем. Получили письмо, которого не ждали, — скопируйте его адрес и проверьте, была ли уже с ним переписка. Нет? Тогда есть смысл уточнить у самого человека, отправлял ли он вам письмо, — разумеется, не в почте, а другим способом.

3. Не открывайте ссылки. У Google и Microsoft есть встроенные просмотрщики, они покажут PDF-файлы без загрузки содержимого. Но если вы внутри документа кликнете по потенциально опасной ссылке, защитить вас эти компании уже не смогут.

4. Не логиньтесь нигде, кроме сайта самой почты. Перебросило на другую логин-страницу? Закройте.

5. Используйте менеджеры паролей. Они безопасно хранят сложные пароли и могут вводить пароли автоматически, проверяя, что форму запрашивает подлинный сайт.

6. Видите «превью зашифрованного PDF»? Такого не бывает, не открывайте.

7. Думаете, что вас пытаются взломать? Свяжитесь с Access Now, там помогут подтвердить или опровергнуть ваши подозрения.

В Citizen Lab дополнительно советуют уязвимым группам пользователей (журналистам, правозащитникам и другим) использовать Google Advanced Protection Program и не доверять запросам на изменение настроек аккаунта без дополнительной проверки — «проверяйте личность отправителя по независимому каналу (например, звонок)».