แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง
ในช่วงเดือนเมษายนถึงต้นมิถุนายน แฮ็กเกอร์ได้ส่งข้อความฟิชชิ่งที่ถูกสร้างขึ้นอย่างแนบเนี่ยน เพื่อหลอกให้ผู้รับสร้าง และแชร์ app-specific passwords ซึ่งจะช่วยเปิดทางให้ผู้โจมตีสามารถเข้าถึงบัญชี Gmail ของเหยื่อได้
App-Specific passwords ถูกออกแบบมาเพื่อให้แอปพลิเคชันของ Third Party (เช่น email client) ที่ถือว่ามีความปลอดภัยน้อยกว่า หรือเป็นแอปพลิเคชันรุ่นเก่า สามารถเข้าถึงบัญชี Google ได้ ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA) แล้วก็ตาม
นักวิจัยด้านความปลอดภัยจากทีม Google Threat Intelligence Group กำลังติดตามกลุ่มแฮ็กเกอร์นี้ภายใต้ชื่อ UNC6293 โดยเชื่อว่ากลุ่มดังกล่าวได้รับการสนับสนุนจากรัฐบาล และอาจมีความเชื่อมโยงกับกลุ่ม APT29 กลุ่มภัยคุกคามทางไซเบอร์ที่อยู่ภายใต้การควบคุมของหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR)
APT29 หรือที่รู้จักกันในชื่อ NobleBaron, Nobelium, Cozy Bear, CozyDuke และ Midnight Blizzard (กลุ่มภัยคุกคามทางไซเบอร์ของรัสเซีย) เป็นกลุ่มที่มีประวัติการปฏิบัติการต่อเนื่องตั้งแต่ปี 2008 เป้าหมายหลักของกลุ่มนี้ครอบคลุมตั้งแต่หน่วยงานรัฐบาล สถาบันวิจัย ไปจนถึงองค์กรคลังสมอง (think tanks)
Slow-paced phishing
กลุ่มนักวิจัยจาก The Citizen Lab ได้ตรวจสอบเหตุการณ์หนึ่งจากแคมเปญ spearphishing ของกลุ่ม UNC6293 ซึ่งมีเป้าหมายเป็น Keir Giles ผู้เชี่ยวชาญด้านปฏิบัติการข้อมูลข่าวสารของรัสเซีย
การโจมตีเริ่มจากอีเมลลงชื่อ Claudie S. Weber อ้างตัวเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เชิญชวน Giles เข้าร่วม “การสนทนาออนไลน์แบบส่วนตัว”
แม้อีเมลส่งจากบัญชี Gmail แต่ในช่อง CC มีที่อยู่อีเมล @state.gov หลายรายการ รวมถึงของ Claudie S. Weber ด้วย เพื่อเพิ่มความน่าเชื่อถือ อย่างไรก็ตาม นักวิจัยไม่พบหลักฐานว่าเธอเคยทำงานในกระทรวงต่างประเทศสหรัฐฯ จริง
Citizen Lab เชื่อว่าผู้โจมตีทราบว่าอีเมลของกระทรวงการต่างประเทศ มีการตั้งค่าให้ยอมรับข้อความทั้งหมด และไม่ตีกลับ แม้ว่าอีเมลนั้นจะไม่มีอยู่จริงก็ตาม
ในระหว่างการแลกเปลี่ยนอีเมลหลายฉบับ Keir Giles แสดงความสนใจเข้าร่วม แต่แจ้งว่าวันที่ระบุอาจไม่สะดวก ผู้โจมตีจึงเชิญเขาเข้าร่วมแพลตฟอร์ม MS DoS Guest Tenant ของกระทรวงการต่างประเทศ ซึ่งช่วยให้เขาสามารถเข้าร่วมประชุมในอนาคตได้ทุกเมื่อ
Giles ตอบรับคำเชิญ และได้รับไฟล์ PDF ซึ่งอธิบายขั้นตอนการสร้าง app-specific password บนบัญชี Google โดยระบุว่าเป็นขั้นตอนจำเป็นสำหรับการลงทะเบียนเข้าใช้งานแพลตฟอร์มดังกล่าวในฐานะแขกรับเชิญ
ในขั้นตอนถัดไป ผู้โจมตีแนะนำให้ Giles ส่ง app-specific password ให้ “ผู้ดูแลระบบของกระทรวงการต่างประเทศสหรัฐฯ” เพื่อเพิ่มบัญชีภายนอกเข้าสู่ระบบ Guest O365 Tenant โดยคำแนะนำระบุว่า เป็นทางเลือกที่ช่วยให้การสื่อสารระหว่างพนักงานกระทรวงกับผู้ใช้ภายนอกที่ใช้ Gmail มีความปลอดภัยมากขึ้น
นักวิจัยจาก Citizen Lab เปิดเผยว่า ขณะที่เป้าหมายเข้าใจว่ากำลังสร้าง และแบ่งปัน app-specific password เพื่อเข้าถึงแพลตฟอร์มของกระทรวงการต่างประเทศได้อย่างปลอดภัย แท้จริงแล้ว พวกเขากำลังมอบสิทธิ์ให้ผู้โจมตีเข้าถึงบัญชี Google ทั้งหมดโดยไม่รู้ตัว
นักวิจัยจาก Google Threat Intelligence Group (GTIG) รายงานว่า แคมเปญ spearphishing เริ่มตั้งแต่เมษายน และดำเนินต่อเนื่องจนถึงต้นมิถุนายน พบสองแคมเปญหลักได้แก่ แคมเปญที่ใช้ธีมเกี่ยวกับกระทรวงการต่างประเทศสหรัฐฯ และอีกแคมเปญที่ใช้เหยื่อล่อเกี่ยวกับยูเครน และไมโครซอฟท์
ทั้งสองแคมเปญมีการใช้ Residential proxies IP 91.190.191[.]117 รวมถึงเซิร์ฟเวอร์ VPS ซึ่งช่วยให้กลุ่มผู้ไม่หวังดีสามารถปกปิดตัวตนขณะเข้าสู่ระบบบัญชีอีเมลที่ถูกโจมตีได้อย่างแนบเนียน
แคมเปญ social engineering ที่ The Citizen Lab และ GTIG กำลังติดตาม ถูกออกแบบอย่างแนบเนียนด้วยตัวตนปลอม, บัญชีปลอม และสื่อสารสนเทศหลากหลายรูปแบบเพื่อเพิ่มความน่าเชื่อถือ เป้าหมายหลักมักเป็นบุคคลที่เกี่ยวข้องกับประเด็นสาธารณะ เช่น ความขัดแย้งทางการเมือง, การฟ้องร้อง หรือการสนับสนุนทางสังคม
เพื่อป้องกันผู้ใช้จากการโจมตี Google แนะนำให้สมัครโปรแกรม Advanced Protection Program ซึ่งเสริมความปลอดภัยโดยไม่อนุญาตให้สร้าง app-specific password หรือเข้าสู่ระบบโดยไม่ใช้ passkey ยืนยันตัวตน
ที่มา: bleepingcomputer
You must be logged in to post a comment.