(Aktualizované o 10:25)
Podľa jedného z novinárov stojí za útokom ruská tajná služba GRU. Dôkazy však chýbajú.
Denník Financial Times v piatok informoval o útoku, ktorému čelila skupina investigatívnych novinárov z Bellingcatu. Útočníci, ktorí novinárom rozoslali phishingové emaily, sa od nich pokúsili získať prihlasovacie údaje do účtov tým, že podvrhli prihlasovaciu stránku služby ProtonMail.
Skupina Bellingcat sa dlhodobo venuje vyšetrovaniam káuz spojených s ruskou tajnou službou GRU. Službu ProtonMail využívala na zdieľanie citlivých informácií o prípadoch zostrelenia letu MH17 a otrávenia Sergeja Skripaľa, v ktorých mali figurovať agenti GRU. K útoku došlo práve v čase, kedy Bellingcat pri príležitosti piateho výročia zostrelenia MH17 zverejnil o prípade nové dokumenty.
Švajčiarska emailová služba zaznamenala pokusy o krádež účtov už v stredu. Následne pracovala spolu s miestnymi úradmi na vypnutí podvrhnutých webstránok a blokácii ďalších falošných e-mailov. Podľa vyjadrenia zakladateľa služby Andyho Yena útočníci dobre vedeli, čo robia.
„Kampaň, ktorá sa odohrala v stredu patrí do TOP 1 alebo 2 percent útokov, čo sa týka sofistikovanosti. Dopredu vedeli, po čom presne idú. Naše vyšetrovanie ukázalo, že šlo o vysoko cielenú operáciu.“
Útočníci si zaregistrovali domény, ktoré napodobňovali užívateľské rozhranie ProtonMailu. Zaplatili za ne Bitcoinami cez prostredníkov. Prihlasovaciu stránku podvrhnutých webov zosynchronizovali s reálnou stránkou ProtonMailu tak, aby od obete mohli získať overovacie kódy pre dvojfaktorovú autentizáciu.
A major phishing campaign on @ProtonMail against researchers/journalists investigating Russia|n topics. Emails impersonate @ProtonMail and alert you that your "keys have been exported". Brazenly, they've registered a Swiss .ch clone domain (https://t.co/Q0fhT6brv1).
— Christo Grozev (@christogrozev) July 24, 2019
Podľa Christa Grozeva, bezpečnostného experta a novinára z Bellingcatu, stojí za útokmi samotná GRU: „Je zrejmé, že súvisia s našim vyšetrovaním GRU. Už dlhšiu dobu sa snažili preniknúť do našich bežných emailových účtov. Ale s ProtonMailom to bolo veľmi zvláštne a nečakané.“
Novinárov znervóznilo najmä to, ako a odkiaľ mohli útočníci získať ich prihlasovacie mená a adresy na ProtonMail vzhľadom na to, že používajú anonymizované adresy, o ktorých vie len uzavretý kruh dôveryhodných kontaktov.
„Predpokladám, že jeden z nich museli kompromitovať. Takže budeme musieť zmeniť naše účty,“ dodal Grozev.
Ruská tajná služba GRU je dlhodobo spájaná s APT skupinou Fancy Bear, o ktorej sme napísali článok Medvede na love nepriateľov Moskvy.
Rusi vidia len provokáciu
ProtonMail vo svojom sobotňajšom stanovisku informoval, že žiadny z útokov nebol úspešný.
Zároveň sa ohradil voči niektorým článkom, ktoré nesprávne tvrdili, že pri útoku bola služba heknutá. Vysvetlil, že v prípade akým bol tento je útok vedený priamo proti užívateľovi a nie službe samotnej. Tá totiž využíva end-to-end a zero-access šifrovanie, ktoré užívateľovi zaručuje, že správy uložené na jej serveroch sama nedokáže rozlúštiť. Jediný človek, ktorý je toho schopný je majiteľ emailovej schránky. Preto útočníci zvolili útok priamo na novinárov a nie ProtonMail.
Kyberbezpečnostná firma ThreatConnect, ktorá sa zapojila do vyšetrovania vo svojej správe píše, že útočníkom sa podarilo podvrhnúť meno odosielateľa technikou zvanou „spoofing“ tak, aby to vyzeralo, že správa prišla od podporného tímu ProtonMailu. Samotná správa upozorňovala adresáta na možný prienik do jeho účtu na ProtonMaili a vyzvala ho k zmene hesla alebo vytvoreniu nových šifrovacích kľúčov.
Okrem podobného vzorca útoku a využitia rovnakých web-hostingov však ani ThreatConnect nedokáže s istotou povedať, či za útokom stála skupina Fancy Bear.
Podľa člena obranného výboru hornej komory ruského parlamentu Franca Klinceviča nie sú tvrdenia skupiny Bellingcat dostatočne presvedčujúce.
„Podľa môjho názoru tu hovoríme o pokuse oživiť takzvanú kauzu Skripaľ. Môžem len povedať, že problémom ľudí, ktorí ju chcú oživiť je ich fantázia a nepodložené tvrdenia, ktoré priamo pred našimi očami hnijú čím ďalej, tým viac a viac. Už ich viac nezaujíma hodnovernosť.”
Vzhľadom na to, že Bellingcat sa často objavuje v západných médiách a spolupracuje so západnými spravodajskými službami, celý prípad podľa Klinceviča naberá na pikantnosti.
„V skratke, provokácia je provokácia. A všetko okolo toho sa robí neprofesionálne,“ dodal.
(VK)