Кампания «взлом по найму» направлена против активистов и журналистов

Глобальная фишинговая кампания «взлом по найму» подвергает угрозе пользователей смартфонов по всему миру

Масштабное расследование в области кибербезопасности выявило активную фишинговую операцию по схеме «взлом по найму», направленную против устройств на iOS и Android по всему миру. Кампания, приписываемая группировке BITTER APT, задействовала почти 1 500 мошеннических доменов, созданных для похищения учётных данных Apple ID и других сервисов у ценных целей, в том числе государственных чиновников, журналистов и активистов. Получив доступ, злоумышленники могли просматривать резервные копии iCloud и личную переписку, превращая простой похищенный пароль в полноценную разведывательную операцию.

Масштаб и направленность этой кампании говорят о многом: это не оппортунистическая киберпреступность. Это организованная, последовательная деятельность, нацеленная на людей, чьи коммуникации и личности представляют реальную ценность.

Кто такие BITTER APT и чего они добиваются

APT расшифровывается как «продвинутая устойчивая угроза» (Advanced Persistent Threat) — категория субъектов угроз, действующих с конкретными целями, значительными ресурсами и долгосрочным терпением. Группировка BITTER APT отслеживается исследователями безопасности на протяжении многих лет и в целом связывается со шпионажем в Южной и Юго-Восточной Азии, хотя такие кампании, как эта, демонстрируют более широкий международный охват.

Модель «взлом по найму» добавляет ещё один повод для беспокойства. Вместо того чтобы действовать исключительно в интересах одного правительства или организации, группы «взлома по найму» продают свои возможности клиентам, желающим собрать разведывательную информацию о конкретных людях. Журналисты, расследующие щекотливые истории, активисты, бросающие вызов влиятельным структурам, и чиновники, располагающие конфиденциальной государственной информацией, — именно такие цели клиенты платят деньги, чтобы установить за ними слежку.

Использование почти 1 500 фальшивых доменов особенно показательно. Создание и поддержание такого объёма мошеннической инфраструктуры требует серьёзных вложений, что отражает, насколько ценны эти цели для тех, кто заказал операцию.

Как работает фишинговая атака

Фишинг на таком уровне изощрённости совсем не похож на безграмотные мошеннические письма, которые большинство людей уже научились распознавать. Операция BITTER APT включала тщательно проработанные поддельные веб-сайты, имитирующие страницы входа в Apple ID и другие сервисные порталы. Жертва получает то, что выглядит как рядовое предупреждение безопасности или уведомление об аккаунте, переходит на убедительную копию сайта и вводит свои учётные данные, не осознавая, что передала их прямо в руки злоумышленника.

Применительно к Apple ID последствия выходят далеко за рамки потери доступа к учётной записи App Store. Учётные данные Apple ID открывают резервные копии iCloud, которые могут содержать годы переписки, фотографий, контактов, истории местоположений и данных приложений. Злоумышленнику с этими учётными данными не нужно взламывать само устройство — он просто входит в систему и скачивает всё, что было автоматически сохранено в резервной копии.

Пользователи Android сталкиваются с аналогичными рисками через кражу учётных данных, нацеленную на аккаунты Google и другие сервисы, которые агрегируют личные данные на разных устройствах и в приложениях.

Что это означает для вас

Большинство читателей не являются государственными чиновниками или журналистами-расследователями, однако это не означает, что данная история к ним не относится. Из этого расследования стоит сделать несколько выводов.

Во-первых, фишинговая инфраструктура, созданная для ценных целей, может поймать в ловушку и обычных пользователей. Фальшивые домены, имитирующие сервисы Apple или Google, не проверяют, кто их посещает. Если вы на них попадёте, ваши учётные данные окажутся под угрозой в той же мере, что и у любого другого.

Во-вторых, то, что резервные копии iCloud и облачных хранилищ стали основной поверхностью атаки, напоминает: безопасность аккаунта — это безопасность устройства. Защита телефона надёжным паролем имеет мало значения, если злоумышленник может войти в ваш облачный аккаунт через браузер и получить доступ ко всему хранящемуся там.

В-третьих, люди, наиболее подверженные риску в подобных кампаниях, — журналисты, исследователи, юристы, медицинские работники и активисты — должны относиться к своей цифровой безопасности с той же серьёзностью, с которой они подходят к физической безопасности в чувствительной обстановке.

Практические шаги, которые стоит предпринять прямо сейчас:

• Включите двухфакторную аутентификацию для Apple ID, аккаунта Google и любого другого сервиса, хранящего конфиденциальные данные. Этот единственный шаг значительно повышает стоимость атаки, основанной на краже учётных данных.
• Используйте менеджер паролей, чтобы каждый аккаунт был защищён уникальным надёжным паролем. Повторное использование учётных данных в разных сервисах резко расширяет ущерб от любой единичной утечки.
• Относитесь скептически к любому непрошеному сообщению с просьбой подтвердить учётные данные, даже если оно выглядит как письмо от Apple, Google или другого доверенного сервиса. Переходите непосредственно на официальные сайты, а не переходите по ссылкам из электронных писем или сообщений.
• Проверьте, что именно сохраняется в резервные копии ваших облачных аккаунтов, и подумайте, действительно ли всё это там должно быть.
• Поддерживайте мобильную операционную систему в актуальном состоянии. Патчи безопасности устраняют уязвимости, которые подобные кампании могут пытаться использовать.

Кампания BITTER APT наглядно демонстрирует, что мобильные устройства стали основной мишенью для изощрённых субъектов угроз, а не второстепенной. Применяемые фишинговые техники разработаны так, чтобы обходить бдительность, а не её активировать. Для надёжной защиты необходимо вырабатывать привычки, которые работают даже тогда, когда атака выглядит убедительно, — ведь лучшие из них именно так и задуманы.

Проверка настроек безопасности ваших аккаунтов сегодня займёт менее пятнадцати минут и может оказаться существенной, если ваши учётные данные когда-либо окажутся под прицелом.