Russische hackers omzeilden de multi-factor authenticatie (MFA) van Gmail door middel van geavanceerde social engineering-aanvallen. Ze deden zich daarbij voor als medewerkers van het Amerikaanse ministerie van Buitenlandse Zaken.
Dat meldt BleepingComputer. De hackers richtten zich op bekende academici en critici van Rusland via een gepersonaliseerde aanvalsmethode. Ze bouwden de benadering zorgvuldig op en zetten de doelwitten niet onder druk om onmiddellijk actie te ondernemen.
Tussen april en begin juni ontvingen slachtoffers zorgvuldig samengestelde phishingberichten met het doel hen ertoe te bewegen een app-specifiek wachtwoord aan te maken en te delen. Zo kregen ze toegang tot hun Gmail-account.
Een app-specifiek wachtwoord geeft verouderde of minder veilige applicaties, zoals bepaalde e-mailclients, toegang tot een Google-account wanneer twee-factor authenticatie is ingeschakeld.
Link met Russische inlichtingendienst
Beveiligingsonderzoekers van Google’s Threat Intelligence Group volgen de daders onder de naam UNC6293. Zij vermoeden dat de groep wordt gesteund door een staat en mogelijk gelinkt is aan APT29, dat onderdeel zou zijn van de Russische buitenlandse inlichtingendienst SVR.
APT29 is onder verschillende namen bekend. Enkele namen zijn NobleBaron, Nobelium, Cozy Bear, CozyDuke en Midnight Blizzard. De groep is in elk geval sinds 2008 actief. De leden van de groep richten zich op overheidsnetwerken, onderzoeksinstellingen en denktanks.
Onderzoekers van The Citizen Lab onderzochten een phishingaanval van UNC6293 op Keir Giles, een expert in Russische informatie-operaties. De aanval begon met een e-mail van een vermeende Claudie S. Weber van het Amerikaanse ministerie van Buitenlandse Zaken, waarin Giles werd uitgenodigd voor een besloten online gesprek.
Hoewel het bericht afkomstig was van een Gmail-adres, stonden er meerdere adressen van het type @state.gov in de CC-regel, waaronder dat van Claudie S. Weber, wat de boodschap een schijn van officiële herkomst gaf.
De onderzoekers konden geen bewijs vinden dat een Claudie S. Weber daadwerkelijk in dienst is bij het ministerie. Volgens hen weet de aanvaller dat de mailserver van het ministerie berichten accepteert. En wel zonder foutmelding te geven als een adres niet bestaat.
Na enkele e-mailwisselingen waarin Giles zijn interesse toonde maar meldde mogelijk niet beschikbaar te zijn op de voorgestelde datum, kreeg hij een uitnodiging om zich aan te sluiten bij het zogenaamde MS DoS Guest Tenant-platform van het ministerie. Dit zou het bijwonen van toekomstige bijeenkomsten eenvoudiger maken.
Giles ging akkoord en ontving een PDF met instructies om een app-specifiek wachtwoord aan te maken binnen zijn Google-account. Dit wachtwoord zou nodig zijn om als gastgebruiker toegang te krijgen tot het platform.
Een volgende stap was het delen van dit wachtwoord met de zogenaamde beheerders van het platform, om de gastgebruiker toe te voegen aan de O365 Tenant. De instructies beschreven dit als een alternatieve methode voor veilige communicatie tussen Gmail-gebruikers en medewerkers van het ministerie.
Slachtoffer geeft volledige toegang
In werkelijkheid gaf het slachtoffer hiermee volledige toegang tot zijn Google-account aan de aanvallers, aldus de onderzoekers van The Citizen Lab.
Volgens Google begon deze spearphishingcampagne in april en liep deze door tot begin juni. Tijdens deze periode werden twee afzonderlijke campagnes geïdentificeerd. Eén met thema’s rond het Amerikaanse ministerie van Buitenlandse Zaken en één rond Oekraïne en Microsoft.
Beide campagnes maakten gebruik van residentiële proxy’s (zoals 91.190.191[.]117) en VPS-servers om anoniem toegang te krijgen tot gecompromitteerde e-mailaccounts.
De campagnes waren zeer doordacht. Ze maakten gebruik van meerdere valse identiteiten, accounts en ondersteunend materiaal om de geloofwaardigheid te vergroten.
De slachtoffers waren vaak personen die betrokken zijn bij gevoelige onderwerpen zoals conflicten, juridische zaken of belangenbehartiging.
Google adviseert dergelijke gebruikers om zich aan te melden voor het Advanced Protection Program. Dat past strengere beveiliging toe en voorkomt dat app-specifieke wachtwoorden kunnen worden aangemaakt. Ook maakt het inloggen zonder een passkey onmogelijk.