Учетные записи Gmail скомпрометированы, так как российские хакеры обходят MFA

В новой волне кибератак российский государственный киберугроза был пойман за подделкой Министерства иностранных дел США для получения несанкционированного доступа к учетным записям Gmail, в частности, к тем, которые принадлежат целевым выдающимся академикам и критикам России.

Согласно исследователям безопасности из Группы угроз Google (GTIG), атаки начались как минимум в апреле и продолжались до начала июня 2025 года. Хакеры, отслеживаемые под именем UNC6293 и подозреваемые в связи с известной группой APT29/ICECAP, полагались на тщательно разработанные тактики социальной инженерии для извлечения учетных данных для входа от своих жертв.

Хакеры использовали обман, а не вредоносное ПО

Вместо использования типичного вредоносного ПО или откровенных фишинговых ссылок, злоумышленники выбрали более тонкий подход. Вместо этого они выстраивали доверие с их целями со временем, отправляя персонализированные электронные письма и поддельные приглашения на встречи. Чтобы повысить свою надежность, злоумышленники подделали официальные адреса электронной почты Министерства иностранных дел США, даже включая их в строку CC своих сообщений.

Один из примеров, предоставленный Кеиром Джайлсом, выдающимся британским исследователем по России, показывает пересланное сообщение (см. ниже) с, казалось бы, достоверным адресом Министерства иностранных дел среди получателей — ключевая тактика, используемая для завоевания доверия.

Как только цель ответила, злоумышленники отправили, казалось бы, безобидный PDF-файл — настроенный для каждого получателя и оформленный так, чтобы напоминать официальное сообщение Государственного департамента — с поддельными инструкциями, утверждающими, что они помогут им получить доступ к защищенной системе правительства США.

На самом деле документ направлял жертву создать то, что известно как Специфический пароль приложения (ASP) — уникальный 16-символьный код, используемый для предоставления приложениям доступа к учетным записям Gmail, обходя двухфакторную аутентификацию.

Критически важно, что жертве было указано отправить этот код обратно злоумышленнику. Вооруженные ASP, хакеры могли войти в электронную почту пользователя незамеченными, получая долгосрочный доступ без необходимости в регулярных паролях или вызове уведомлений MFA (многофакторной аутентификации).

«Затем злоумышленники настраивали почтовый клиент для использования ASP, вероятно, с конечной целью доступа и чтения переписки жертвы. Этот метод также позволяет злоумышленникам иметь постоянный доступ к учетным записям», — написала GTIG в блоге в четверг.

Две кампании, одна стратегия

** GTIG выявила две отдельные, но связанные кампании:

Кампания 1 использовала тему Министерства иностранных дел США, предлагая имя ASP «ms.state.gov».

Кампания 2 включала смесь украинского и брендинга Microsoft.

Обе кампании использовали одни и те же резидентные прокси (91.190.191.117) и виртуальные частные серверы (VPS) в инфраструктуре, что облегчало следователям связывать их вместе.

Принятые меры

Google сообщает, что уже повторно защитила учетные записи Gmail, скомпрометированные этими кампаниями, и активно работает над предотвращением будущих атак такого рода. Компания напоминает пользователям, что ASP могут быть созданы и отменены в любое время. Когда ASP создается, Google автоматически отправляет уведомление на соответствующий учетной записи Gmail пользователя, адрес электронной почты для восстановления и любые устройства, вошедшие в систему с этой учетной записью Google, чтобы подтвердить, что действие было намеренным.

Для пользователей с высоким риском, таких как журналисты, активисты и политические аналитики, Google предоставляет расширенные ресурсы безопасности, такие как Программа расширенной защиты (APP), которая предлагает более сильную безопасность и полностью отключает возможность создания ASP.

«Мы надеемся, что улучшенное понимание тактик и техник повысит возможности поиска угроз и приведет к более сильной защите пользователей по всей отрасли», — заключил блог.