Група хакерів, пов’язана з російською службою зовнішньої розвідки, отримала доступ до Gmail-акаунтів західних експертів, журналістів і дослідників, які вивчають кремлівську пропаганду та агресію проти України. Вони змусили жертв самостійно створити й передати паролі, що оминають захист акаунтів.
Група хакерів, пов’язана з російською службою зовнішньої розвідки, отримала доступ до Gmail-акаунтів західних експертів, журналістів і дослідників, які вивчають кремлівську пропаганду та агресію проти України. Вони змусили жертв самостійно створити й передати паролі, що оминають захист акаунтів.
Як повідомляє BleepingComputer, кібератаку здійснила група UNC6293. У західній кіберрозвідці її пов’язують з APT29 (відомою також як Cozy Bear або Nobelium), яка працює під контролем спецслужб росії. Удар було завдано між квітнем і червнем 2025 року. Кампанія мала ознаки індивідуальної розробки під конкретних осіб: атаковані отримували складні, багатоступеневі фішингові листи.
Групу APT29 західні спецслужби пов’язують із масштабними кампаніями кібершпигунства, зокрема зламу серверів Демпартії США у 2016 році та нападом на SolarWinds у 2020. Вони цілеспрямовано атакують урядові структури, аналітичні центри, правозахисні організації та медіа.
Одним із підтверджених прикладів став напад на Кіра Джайлза, британського експерта з російських інформаційних операцій. Йому надійшов лист нібито від посадовиці Держдепартаменту США, в якому запрошували на «приватну бесіду». У копії листа було зазначено кілька правдоподібних службових email-адрес, що додавало достовірності.
Після кількох листувань жертві надіслали PDF-інструкцію зі створення «пароля для сторонніх застосунків» (app-specific password). Це спеціальний код, який дозволяє входити до Gmail через сторонні сервіси, минаючи двофакторну автентифікацію. У документі було вказано, що цей пароль потрібно надіслати «адміністраторам Держдепартаменту» для отримання доступу до платформи.
Таким чином, жертви фактично самі надавали повний доступ до своїх облікових записів. Після входу хакери могли зчитувати пошту, переглядати документи, контакти й отримувати всю конфіденційну інформацію. У кількох випадках Gmail-акаунти використовувались для подальшого поширення фішингових листів на інші цільові особи.
За оцінками експертів Citizen Lab та Google Threat Intelligence Group, унаслідок атак було скомпрометовано щонайменше кілька десятків облікових записів, включно з акаунтами дослідників, дипломатів, журналістів, аналітиків з тематики росії, війни в Україні, НАТО й міжнародної безпеки. Точна кількість жертв не розголошується, але кампанія тривала кілька місяців і охоплювала різні регіони Європи та Північної Америки.
Кіберзлочинці використовували в атаках VPN, VPS-сервери та residential proxy для маскування свого місцезнаходження. Серед IP-адрес, які брали участь у входах до вкрадених акаунтів, було зафіксовано зокрема IP 91.190.191[.]117.
Google рекомендує всім, хто працює з чутливою інформацією, активувати програму Advanced Protection. Вона блокує використання сторонніх паролів і значно ускладнює несанкціонований доступ, навіть у разі фішингової атаки.
Нагадаємо, раніше ми писали про те, як дослідники виявили масштабну кампанію розповсюдження шкідливого ПЗ, до якої причетні хакери, афілійовані з росією, та комерційні рекламні платформи.
