Linja ndihmëse e sigurisë dixhitale Access Now ka identifikuar dy fushata phishing që synojnë përfaqësuesit e shoqërisë civile nga Evropa Lindore dhe organizatat ndërkombëtare joqeveritare që veprojnë në rajon. Raporti përkatës u publikua në faqen e internetit të shërbimit.
Më shumë se 10 OJQ ruse dhe media të pavarura janë bërë viktima të sulmeve nga grupet e hakerëve pro-Kremlinit, raportoi The Moscow Times në Access Now. Midis viktimave janë botimi i Projektit, ish-ambasadori i SHBA-së në Ukrainë Stephen Pfeiffer dhe organizata e të drejtave të njeriut First Department , e cila ndihmon ata që janë të përfshirë në çështjet penale të tradhtisë, spiunazhit, ekstremizmit dhe gjithashtu lufton për të siguruar lirinë e aksesit në informacion nga arkivat shtetërore. .
Fushatat e phishing u zhvilluan midis tetorit 2022 dhe gushtit 2024. Metodat e sulmit, profilet e viktimave dhe provat e tjera teknike tregojnë se sulmuesit janë hakerë nga grupe afër Kremlinit.
Ekspertët nga Laboratori i Qytetarëve në Universitetin e Torontos konfirmuan se sulmet midis prillit dhe qershorit 2024 u kryen nga grupi Cold River i lidhur me FSB, i njohur gjithashtu si Star Blizzard ose C allisto. Një tjetër operacion, i cili u zhvillua nga tetori 2022 deri në gusht 2024, ishte puna e hakerëve të tjerë nga shoqata Cold Wastrel.
Ky grup përdorte adresa emaili nga shërbimi Proton Mail: në këtë mënyrë, hakerët u përpoqën të imitonin organizata ose individë që ishin të njohur për viktimat. Access Now u lajmërua për herë të parë për këto sulme në mars 2023. Sulmuesit dërguan email tek OJQ-të e ndryshme ndërkombëtare. Mesazhet e postës elektronike ishin maskuar për t’u dukur se ishin dërguar nga një llogari e njohur mirë për grupet e synuara. Në veçanti, vetëm një karakter në adresën e dërguesit u ndryshua, për shembull, “s” në “c”, kështu që ndryshimi ishte pothuajse i padukshëm.
Në disa raste, emailet përmbanin bashkëngjitje të bllokuara PDF dhe një lidhje që ata kërkuan të klikohej për të hapur dokumentin. Kur klikohej, hapi një faqe të rreme hyrjeje për Proton Mail ose Gmail, përmes së cilës sulmuesit mblodhën fjalëkalime dhe kode për vërtetimin me dy faktorë, ose një faqe për shkarkimin e softuerit me qëllim të keq.
Sulmet pasuese në 2023 përdorën taktika të ndryshme. Sulmuesit krijuan një server emaili me domene të rreme për të imituar një organizatë nga një listë e partnerëve të vërtetë të viktimave. Kjo metodë u kombinua me përdorimin e pseudonimeve të njohura, të cilat u krijuan edhe me zëvendësimin e një prej personazheve për të shmangur dyshimet e mundshme dhe për të vështirësuar zbulimin e operacionit.
Access Now vëren se sulmet nuk ishin teknikisht të sofistikuara dhe mbështeteshin kryesisht në teknikat e inxhinierisë sociale. Letrat simulonin skenarë të përditshëm që ndeshen rregullisht organizatat hetuese ose të të drejtave të njeriut, duke theksuar natyrën e synuar të fushatës. Hakerët përdorën gjithashtu teknika të tilla si verifikimi i makinës (nevoja për të futur një captcha për të hyrë në një llogari për të bindur viktimën për vërtetësinë e shërbimit) dhe fshehja e meta të dhënave PDF.
Në të njëjtën kohë, përdorimi i serverëve virtualë privatë nga sulmuesit bëri të mundur identifikimin dhe paralajmërimin e viktimave të tjera të mundshme në Rusi, Ukrainë dhe vende të tjera të Evropës Lindore. Për të siguruar mbrojtje, ekspertët e Access Now rekomandojnë përdorimin e vërtetimit me dy faktorë, por jo mesazhet SMS, por çelësat e sigurisë ose çelësat e fjalëkalimit të Google në rastin e përdoruesve të Gmail.
