Британська компанія з інформаційної безпеки cyjax опублікувала дослідження, що стосується фішингової атаки на чиновників з росії і декількох сусідніх країн.

Kaspersky.com

Серед об’єктів атаки опинилися російська академія наук (ран), поштовий сервіс mail.ru, а також держустанови більше десятка країн, включаючи вірменію, азербайджан, китай, киргизію, грузію, білорусію, україну, туреччину, туркменістан і узбекистан.

В результаті аналізу більше 50 доменів з’ясувалося, що вони стали з’являтися з весни 2020 року. “зараз активні 15 сайтів, які імітують портали для входу в електронну пошту для співробітників міністерств закордонних справ, фінансів або енергетики різних країн», — повідомили «комерсанту» в cyjax.

У відповідь на прохання прокоментувати результати дослідження, в mail.ru повідомили «що»своєчасно реагують на подібні інциденти, включаючи ті, що перераховані в звіті”. У компанії також відзначили, що в пошті mail.ru працює антиспам-система, яка адаптується до нових сценаріїв спаму, в тому числі фішингового.

Як вважають в cyjax, метою атаки є збір логінів і паролів для доступу до поштових скриньок держслужбовців. За словами директора експертного центру безпеки positive technologies олексія новікова, хакери можуть використовувати отриманий доступ для продовження атаки, відправляючи листи з шкідливим вкладенням на адресу партнерів компанії.

З урахуванням відсутності негайної фінансової вигоди від атаки, спрямованості на росію і сусідні країни, в cyjax вважають, що за нею може стояти якась продержавная угруповання.

Співзасновник проекту stopphish юрій другач вважає, що мотивом кампанії може бути провокація проти росії на тему того, що вона зламує своїх сусідів, на що вказує те, що деякі з доменів зареєстровані в липні, і сервери розміщені на російському хостингу. За його словами, щоб заплутати сліди, зловмисники часто реєструють для фішингових сайтів сервер в одній країні, ip-адреса – в іншій, а домен — в третій. “це дозволяє їм ускладнити пошуки власника сайту”, – говорить олексій новіков.