APT 28 атакует журналистов через уязвимость в сервисе Google

Злоумышленники используют сервис AMP для фишинга с целью завладеть учетными данными журналистов.

Хакерская группировка Fancy Bear (APT 28), часто связываемая с российскими спецслужбами, эксплуатирует уязвимость в сервисе Google для атак на занимающихся расследованиями журналистов. Проблема связана с реализацией Google нового интернет-стандарта Accelerated Mobile Pages (AMP), который компания всеми силами пытается продвигать. Об уязвимости в AMP известно еще с ноября прошлого года, однако производитель не спешит ее исправлять.

Стандарт предназначен для оптимизации web-страниц под смартфоны. AMP используется с конца 2015 года для предоставления упрощенной версии сайтов, способных загружаться быстрее при низкой скорости передачи данных и более слабых процессорах мобильных устройств. Для ускорения загрузки Google предварительно загружает копии AMP-страниц из поисковой выдачи, поэтому, если пользователь сразу же на них кликнет, они откроются незамедлительно.

Подобная предварительная загрузка предполагает использование кешированных страниц google.com. На созданных Google AMP-страницах исходный домен отображается вверху экрана. Однако в адресной строке на мобильном устройстве (в самом верху экрана) они выглядят, как страницы сайта Google. Более того, при прокручивании страницы вниз исходный домен и вовсе перестает быть видимым, и остается только адрес google.com, как показано в видео:

Несмотря на большую популярность AMP, представители отрасли относятся к стандарту неоднозначно. Во-первых, непонятно, почему пользователи сайтов должны видеть адрес не ресурса, а Google. Во-вторых, AMP может использоваться злоумышленниками для маскировки вредоносных сайтов, ведь домен Google вызывает больше доверия, чем какой-либо случайный сайт на базе WordPress. С его помощью фишеры могут выманивать у доверчивых пользователей учетные данные, поскольку, увидев в адресной строке google.com, жертвы ничего не заподозрят.

Именно для фишинга данную особенность AMP используют хакеры из Fancy Bear, пытаясь завладеть учетными данными пользователей Gmail. В частности, группировку интересуют журналисты, занимающиеся расследованиями дел о коррупции и правонарушений со стороны лиц, связанных с правительством РФ, сообщает издание Salon.

Одним из таких журналистов является Арик Толер (Aric Toler) из исследовательской группы Bellingcat, специализирующийся на анализе публикаций в российских СМИ. Хакеры из Fancy Bear использовали уязвимость в AMP для осуществления атак на Толера еще за месяц до того, как на протокол обрушилась критика. В общей сложности в 2015-2016 году журналист получил 14 фишинговых электронных писем, с помощью которых злоумышленники пытались заполучить его учетные данные. Как сообщил изданию Salon представитель ИБ-компании ThreatConnect, анализ фишинговых писем, отправленных с адреса annaablony@mail․com, показал связь с группировкой Fancy Bear.

Толер вовремя заподозрил
неладное и не стал жертвой хакеров, однако его коллега Дэвид Саттер (David Satter) попался на удочку. После того, как
журналист ввел свой пароль на фишинговой странице, вредоносная программа
авторизовалась в электронном ящике Саттера и загрузила все его содержимое. Затем
в течение трех недель злоумышленники публиковали похищенную переписку в
интернете.

APT 28 атакует журналистов через уязвимость в сервисе Google
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.