В современном киберпространстве методы атак всё более изощрённо приспосабливаются к методам защиты. Одна из последних наблюдаемых тактик связана с использованием возможностей, предоставляемых самими сервисами, для обхода мер безопасности. Российская группировка APT29, известная также под такими прозвищами, как Cozy Bear и The Dukes, стала примером таких новаторских атак, используя функцию Google — пароли приложений, чтобы обходить двухфакторную аутентификацию (2FA) и получать доступ к электронной почте своих жертв. Эта целевая кампания раскрыта Google Threat Intelligence Group (GTIG) и исследовательским центром Citizen Lab, показав, насколько опасным может быть использование устаревших или менее защищённых механизмов доступа даже на платформах с повышенной защитой. APT29 – российская хакерская группа, давно сопровождающаяся обвинениями в кибершпионаже и атаках на государственные организации, неправительственные структуры и отдельных исследователей.
Их методы социального инженерства зачастую отличаются тщательной подготовкой и долгосрочным построением доверительных отношений с жертвами, что позволяет обходить привычные меры защиты. В рассматриваемом случае злоумышленники действуют не с помощью внезапных и громких атак, а с помощью многоэтапного процесса создания иллюзии легитимности. Главным инструментом злоумышленников становится функция Google, позволяющая создавать пароли приложений — отдельные 16-значные коды, которые позволяют менее защищённым приложениям и устройствам получить доступ к аккаунту Google, даже если на аккаунте включено двухфакторное подтверждение входа. Эти пароли нужны для того, чтобы, например, старые почтовые клиенты или устройства, не поддерживающие 2FA, могли работать с аккаунтом. Однако в руках злоумышленников этот безопасный на первый взгляд механизм превращается в лазейку для перехвата почты.
Атака строится на тщательной и продолжительной социальной инженерии. Сначала потенциальная жертва — часто это известные специалисты, критики российского режима или крупные учёные — получает благовидное письмо с приглашением на встречу. Эти письма заполняются множеством поддельных адресов, в том числе с доменом @state.gov, чтобы создать видимость легитимного общения с сотрудниками Госдепартамента США. Злоумышленники прекрасно понимают технические тонкости почтовой системы Госдепартамента — их серверы настроены принимать письма даже для несуществующих адресатов, не возвращая уведомления о недоставке.
Это создаёт дополнительный уровень доверия у жертв, которые, видя адреса в копии, не подозревают подвоха. После согласия на участие и переписки «встреча» назначается, и жертва получает документ в формате PDF, где представлена инструкция по созданию пароля приложения Google. В инструкции жертве предлагается настроить такой пароль под предлогом обеспечения «безопасного доступа» к специальному облачному окружению Государственного департамента, с которым предполагается дальнейшее сотрудничество. В реальности этот 16-значный пароль становится ключом для злоумышленников, позволяющим полноценно читать письма, а также длительно удерживать доступ к почтовому ящику без необходимости повторных входов, обходя 2FA. Специалисты Google подтверждают, что в ходе расследования наблюдались похожие кампании с украинской тематикой, что говорит о использовании данного метода для более широкого спектра целей.
Злоумышленники при этом используют различные технические методы для сокрытия своего присутствия и минимизации риска обнаружения, такие как подключение через резидентские прокси и VPS-сервера, что затрудняет отслеживание их действий. В ответ на угрозу Google уже реализовал меры для блокировки таких скомпрометированных аккаунтов и усиления защиты пользователей. Интересно, что способность APT29 использовать такие изощрённые методы не ограничивается Google. С начала 2025 года исследователи также фиксируют применение группировкой новых видов фишинга, нацеленного на Microsoft 365. Среди них выделяется так называемый device join phishing — фишинговая схема, при которой жертву убеждают отправить Microsoft OAuth-код, что позволяет злоумышленникам зарегистрировать собственное устройство в аккаунте пользователя и получить доступ через доверенную интеграцию.
Такие методы указывают на высокий уровень технической подготовки и понимания уязвимостей современных облачных платформ. Опасность использования паролей приложений для обхода 2FA подчёркивает необходимость критически относиться к тому, какие функции и расширения используются в аккаунтах, особенно если речь идёт о потенциально чувствительной информации. Настойчивое построение доверительных отношений злоумышленниками говорит о том, что киберугрозы сегодня выходят за рамки простых автоматизированных атак и требуют высокой квалификации и внимательности со стороны пользователей. Для повышения безопасности специалисты рекомендуют максимально ограничить использование паролей приложений, если это возможно, и переходить на более безопасные способы аутентификации, такие как FIDO2-ключи или биометрические методы, которые не поддаются простому перехвату. Важно не только обучать сотрудников принципам распознавания фишинговых сообщений, но и создавать внутрішні для организации процедуры проверки информации, поступающей по электронной почте из неожиданных источников, включая внимательную проверку содержимого и участников переписки.
Развитие таких целевых и сложных атак, как инициированные группой APT29, ясно демонстрирует, что технических мер защиты недостаточно без грамотной организационной культуры безопасности и постоянного контроля. Поставщики услуг, в свою очередь, должны выполнять роль не только инфраструктуры, но и активного партнёра по безопасности, своевременно выявляя подозрительные действия и предоставляя пользователям эффективные средства защиты от социальных инженерий и сложных вариантов компрометаций. Российская APT29 продолжает адаптироваться и использовать слабости систем безопасности в своих атаках. От сочетания социальной инженерии с техническими уязвимостями страдают как отдельные личности, так и целые организации. Осознание и своевременное реагирование на такие угрозы имеют решающее значение для сохранения информационной безопасности и предотвращения утечек конфиденциальной информации.
Поддержание бдительности, внедрение многоуровневой защиты и развитие навыков распознавания сложных фишинговых приёмов остаются ключевыми элементами в борьбе с такими изощрёнными угрозами.
