Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Британская компания по информационной безопасности Cyjax опубликовала исследование, касающееся фишинговой атаки на чиновников из России и нескольких соседних стран.
В числе объектов атаки оказались Российская академия наук (РАН), почтовый сервис Mail.ru, а также госучреждения более десятка стран, включая Армению, Азербайджан, Китай, Киргизию, Грузию, Белоруссию, Украину, Турцию, Туркменистан и Узбекистан.
В результате анализа более 50 доменов выяснилось, что они стали появляться с весны 2020 года. «Сейчас активны 15 сайтов, которые имитируют порталы для входа в электронную почту для сотрудников министерств иностранных дел, финансов или энергетики различных стран», — сообщили «Коммерсанту» в Cyjax.
В ответ на просьбу прокомментировать результаты исследования, в Mail.ru сообщили, что «своевременно реагируют на подобные инциденты, включая те, что перечислены в отчёте». В компании также отметили, что в почте Mail.ru работает антиспам-система, которая адаптируется к новым сценариям спама, в том числе фишингового.
Как полагают в Cyjax, целью атаки является сбор логинов и паролей для доступа к почтовым ящикам госслужащих. По словам директора экспертного центра безопасности Positive Technologies Алексея Новикова, хакеры могут использовать полученный доступ для продолжения атаки, отправляя письма с вредоносным вложением в адрес партнёров компании.
С учётом отсутствия немедленной финансовой выгоды от атаки, направленности на Россию и соседние страны, в Cyjax полагают, что за ней может стоять некая прогосударственная группировка.
Сооснователь проекта StopPhish Юрий Другач считает, что мотивом кампании может быть провокация против России на тему того, что она взламывает своих соседей, на что указывает то, что некоторые из доменов зарегистрированы в июле, и серверы размещены на российском хостинге. По его словам, чтобы запутать следы, злоумышленники часто регистрируют для фишинговых сайтов сервер в одной стране, IP-адрес — в другой, а домен — в третьей. «Это позволяет им усложнить поиски владельца сайта», — говорит Алексей Новиков.
Источник: