Krievija ir realizējusi starptautisku kampaņu, kā ietvaros tiek iegūti dati no valdībām visā pasaulē, iekļūstot tīmekļa e-pasta kontos.
Jau gadiem ilgi Krievijas valsts sponsorētās hakeru grupas ir piekļuvuši citu valstu valdību e-pasta saziņai Austrumeiropā, Āfrikā un Latīņamerikā.
Kiberdrošības pētnieku ESET jaunajā ziņojumā ir konstatēts, ka krāpnieki ļaunprātīgi izmantoja vairākas nulles dienas un n-dienas ievainojamības tīmekļa e-pasta serveros, lai nozagtu e-pasta vēstules.
ESET kampaņu nosauca par “RoundPress”. Pētnieki norāda, ka tā sākās 2023. gadā. Kopš tā laika Krievijas uzbrucēji, kas pazīstami kā Fancy Bear (AKA APT28), izsūtīja pikšķerēšanas e-pasta vēstules upuriem Grieķijā, Ukrainā, Serbijā, Bulgārijā, Rumānijā, Kamerūnā un Ekvadorā.
Valdības, militārie un citi Krievijas mērķi
E-pasta vēstules, kurās tika apspriesti ikdienas politiskie notikumi, no ārpuses esot pavisam nekaitīgas un ierastas. Tomēr HTML teksta korpusā bija ievietots ļaunprātīgs JavaScript kods.
Tas izmantoja tīmekļa pasta pārlūkprogrammas lapas, ko izmanto cietušais, kļūdu XSS (cross-site scripting) un radītu neredzamus ievades laukus, kuros pārlūkprogrammas un paroļu pārvaldnieki automātiski aizpildītu pieteikšanās datus.
Turklāt kods nolasītu DOM vai nosūtītu HTTP pieprasījumus, vācot e-pasta ziņojumus, kontaktus, tīmekļa e-pasta iestatījumus, 2FA informāciju un citu informāciju. Pēc tam visa informācija tiktu pārraidīta uz stingri kodētu C2 adresi.
Atšķirībā no tradicionālajiem pikšķerēšanas ziņojumiem, kas prasa zināmu rīcību no upura puses, šajos uzbrukumos upurim bija nepieciešams tikai atvērt un apskatīt e-pastu. Viss pārējais notika otrajā plānā, upurim to pat neapzinoties.
Pozitīvais aspekts ir tas, ka šai shēmai nav noturības mehānisma, tāpēc tā darbojas tikai tad, kad upuris atver e-pasta vēstuli. Ņemot vērā iepriekš sacīto, visticamāk, ar vienu reizi ir pietiekami, lai iegūtu, piemēram, pieeju parolēm, jo cilvēki e-pasta paroles maina reti, ja maina vispār.
ESET identificēja vairākas nepilnības, kas tika ļaunprātīgi izmantotas šajā uzbrukumā. Proti, divas XSS nepilnības Roundcube, XSS nulles dienas nepilnību MDaemon, nezināmu XSS nepilnību Horde un XSS nepilnību Zimbra.
Starp cietušajiem ir valdības organizācijas, militārās organizācijas, aizsardzības uzņēmumi un kritiskās infrastruktūras uzņēmumi.
Avots: TechRadar
