Hackerská skupina spojená s Ruskom uskutočnila sofistikovaný kybernetický útok proti Keirovi Gilesovi, britskému expertovi na Rusko, ktorý spolupracuje s think-tankom Chatham House, jedným z najuznávanejších na svete. Použili pri tom doteraz nikdy nedokumentovanú techniku phishingu, ktorá dokázala obísť dvojfaktorovú autentifikáciu Google vďaka použitiu hesiel špecifických pre aplikácie (ASP) – dočasných poverení, ktoré sa zvyčajne používajú na prepojenie externých aplikácií s e-mailovými účtami. Informuje o tom taliansky server Formiche.
Čítajte viac Pochopenie sociálneho inžinierstva - ochrana pred kybernetickými hrozbami
Útok, ktorý odhalil Google a zdokumentoval Citizen Lab Torontskej univerzity, bol s vysokou pravdepodobnosťou pripísaný skupine UNC6923, ktorá je sponzorovaná ruským štátom a možno je prepojená s APT29, známou aj ako Cozy Bear. Operácia, ktorá sa začala v máji, preukázala mimoriadnu mieru trpezlivosti a zmyslu pre detail. Počas dvoch týždňov hackeri viedli dôveryhodnú výmenu správ s Gilesom, vydávajúc sa za úradníkov amerického ministerstva zahraničných vecí. Autor podvodu, ktorý sa predstavil ako Claudie Weber, použil Gmail adresu, ale kopíroval adresy, ktoré zdanlivo patrili kolegom z ministerstva, využívajúc skutočnosť, že americké servery negenerujú chybové správy, ak sa kontaktuje neexistujúca adresa. Giles, napriek svojim skúsenostiam a obvyklej nedôvere, bol presvedčený jazykovou zdatnosťou, profesionálnym tónom e-mailov a dobre zostaveným PDF súborom, ktorý obsahoval pokyny na prístup k údajnej vládnej platforme nazvanej „MS DoS Guest Tenant“.
Čítajte viac Ivan Makatura: V konečnom dôsledku je vždy za kybernetickým útokom človek
Ako to fungovalo
Práve dodržaním týchto pokynov Giles vygeneroval a zdieľal heslo špecifické pre aplikáciu – veriac, že ide o kód na prístup k zabezpečenej aplikácii – ktoré namiesto toho poskytlo hackerom plný prístup k jeho e-mailovým účtom. „Je to ako investovať do bezpečnostných zámkov na vchodové dvere, ale nechať otvorené okno,“ komentoval Giles, ktorý povolil Citizen Lab zverejniť podrobnosti o útoku. Google objasnil, že nejde o zraniteľnosť ich systému: „Problém pramení z pokusu o phishing. ASP nie sú výlučnou záležitosťou Google a mali by sa s nimi zaobchádzať ako s akýmkoľvek iným heslom,“ uviedol hovorca.
Čítajte viac Ivan Makatura: V kybernetickom priestore je najlepšou vlastnosťou človeka opatrnosť
Nová hranica sociálneho inžinierstva
Incident vyvolal otázky o bezpečnosti ASP, ktoré sú stále použiteľné na osobných účtoch, hoci ich Google postupne eliminuje zo sady Workspace. Pre Johna Scotta-Railtona z Citizen Lab ide o novú hranicu sociálneho inžinierstva: „Kybernetickí zločinci vedia, čo sa očakáva od ruského útoku – škrípajúca gramatika, podozrivé odkazy – a tentoraz urobili opak. Podvod, ktorému by mohol podľahnúť ktokoľvek.“ Experti sa obávajú, že táto technika by sa mohla rozšíriť, čo je podporované rastúcou účinnosťou bezpečnostných filtrov a väčšou informovanosťou používateľov. Medzitým Giles, ktorý verejne varoval svoje kontakty prostredníctvom sociálnych sietí, čaká na následky: „Prvý krok je za nami, teraz čakám, ako využijú ukradnuté informácie. Scenár je známy: hackovanie, manipulácia, publikácia s cieľom diskreditovať.“