Кампанія «хакерів на замовлення» спрямована проти активістів і журналістів

Глобальна фішингова кампанія «хакерів на замовлення» наражає на небезпеку користувачів смартфонів по всьому світу

Масштабне розслідування у сфері кібербезпеки викрило активну фішингову операцію «хакерів на замовлення», спрямовану проти пристроїв iOS та Android по всьому світу. Кампанія, що приписується групі BITTER APT, задіяла близько 1 500 шахрайських доменів, призначених для викрадення облікових даних Apple ID та інших сервісів у цінних цілей — урядовців, журналістів та активістів. Отримавши доступ, зловмисники могли переглядати резервні копії iCloud та приватне листування, перетворюючи звичайний викрадений пароль на повноцінну розвідувальну операцію.

Масштаб і цілеспрямованість цієї кампанії свідчать про важливе: це не випадкова кіберзлочинність. Це організована, наполеглива діяльність, спрямована проти людей, чиє спілкування та особистість мають реальну цінність.

Хто такі BITTER APT і чого вони прагнуть

APT означає «Стійка розширена загроза» — категорія зловмисників, що діють із конкретними цілями, значними ресурсами та довготривалою терплячістю. Дослідники безпеки відстежують BITTER APT упродовж багатьох років; зазвичай ця група пов'язується з операціями шпигунського характеру в Південній та Південно-Східній Азії, хоча такі кампанії, як ця, демонструють ширший міжнародний охоплення.

Модель «хакерів на замовлення» додає ще один рівень занепокоєння. Замість того щоб діяти виключно в інтересах одного уряду чи організації, такі групи продають свої можливості клієнтам, яким потрібно збирати розвідувальні дані про конкретних осіб. Журналісти, що розслідують резонансні теми, активісти, які кидають виклик впливовим інтересам, та посадовці, що зберігають конфіденційну урядову інформацію, — саме такі цілі платять клієнти, щоб за ними стежити.

Використання майже 1 500 фальшивих доменів є особливо показовим. Створення та підтримка такого обсягу шахрайської інфраструктури потребує серйозних інвестицій, що відображає, наскільки ці цілі цінні для тих, хто замовив операцію.

Як працює фішингова атака

Фішинг на такому рівні витонченості аж ніяк не нагадує погано написані шахрайські листи, які більшість людей навчилася розпізнавати. Операція BITTER APT передбачала ретельно створені підроблені вебсайти, що імітують справжні сторінки входу Apple ID та інших сервісних порталів. Жертва отримує те, що виглядає як рутинне сповіщення безпеки або повідомлення про обліковий запис, переходить на переконливий сайт-копію і вводить свої облікові дані, не усвідомлюючи, що передає їх безпосередньо зловмиснику.

Зокрема щодо Apple ID, наслідки виходять далеко за межі втрати доступу до облікового запису App Store. Облікові дані Apple ID відкривають доступ до резервних копій iCloud, які можуть містити роки повідомлень, фотографій, контактів, історії місцезнаходження та даних додатків. Зловмиснику з такими обліковими даними не потрібно компрометувати сам пристрій — він просто входить в обліковий запис і завантажує все, що було автоматично скопійовано.

Користувачі Android стикаються з подібними ризиками через викрадення облікових даних, спрямоване на облікові записи Google та інші сервіси, що агрегують персональні дані на різних пристроях і в додатках.

Що це означає для вас

Більшість читачів не є урядовцями чи журналістами-розслідувачами, але це не означає, що ця історія вас не стосується. З цього розслідування варто зробити кілька висновків.

По-перше, фішингова інфраструктура, побудована для цінних цілей, може зачепити і звичайних користувачів. Фальшиві домени, що імітують сервіси Apple або Google, не перевіряють, хто їх відвідує. Якщо ви натрапите на один із них, ваші облікові дані перебуватимуть під таким самим ризиком, як і в будь-кого іншого.

По-друге, те, що iCloud та хмарні резервні копії виявилися основною поверхнею атаки, нагадує: безпека облікового запису — це безпека пристрою. Захист телефону надійним паролем має мало значення, якщо зловмисник може увійти у ваш хмарний обліковий запис через браузер і отримати доступ до всього, що там зберігається.

По-третє, люди, які найбільше піддаються ризику від таких кампаній, — зокрема журналісти, дослідники, юристи, медичні працівники та активісти, — повинні ставитися до своєї цифрової безпеки з такою самою серйозністю, яку вони застосовували б до фізичної безпеки в чутливому середовищі.

Практичні кроки, які варто зробити прямо зараз:

• Увімкніть двофакторну автентифікацію для Apple ID, облікового запису Google та будь-якого іншого сервісу, що зберігає конфіденційні дані. Цей єдиний крок суттєво підвищує вартість атаки на основі викрадених облікових даних.
• Використовуйте менеджер паролів, щоб забезпечити кожному обліковому запису унікальний надійний пароль. Повторне використання облікових даних у різних сервісах різко збільшує шкоду від будь-якого одного витоку.
• Скептично ставтеся до будь-якого небажаного повідомлення з проханням підтвердити облікові дані, навіть якщо воно, здається, надходить від Apple, Google або іншого надійного сервісу. Переходьте безпосередньо на офіційні вебсайти, а не переходьте за посиланнями в електронних листах або повідомленнях.
• Перегляньте, що саме зберігається у резервних копіях ваших хмарних облікових записів, і подумайте, чи все це там дійсно потрібно.
• Оновлюйте мобільну операційну систему. Патчі безпеки усувають вразливості, які такі кампанії можуть намагатися використати.

Кампанія BITTER APT є яскравою ілюстрацією того, що мобільні пристрої стали першочерговою ціллю для витончених зловмисників, а не другорядною. Фішингові техніки, що використовуються, розроблені так, щоб обходити обізнаність, а не провокувати її. Залишатися захищеним — означає формувати звички, які спрацьовують навіть тоді, коли атака переконлива, адже найкраще розроблені з них саме такими й мають бути.

Перегляд налаштувань безпеки облікового запису сьогодні займе менше п'ятнадцяти хвилин і може суттєво вплинути на ситуацію, якщо ваші облікові дані колись стануть метою.