Az adathalászat speciális formáját, a szigonyozást vetette be az orosz hackercsoport, amely megszerezte Hillary Clinton kampánycsapatának Gmail-azonosítóit, és így lophatta el a leveleket, amelyek mostanában kerülnek nyilvánosságra - állítja a Secure Works.
Threat Group-4127 (TG-4127) az orosz csoport neve, amelyhez az összesen 108 darab, hillaryclinton.com emailcímet célzó támadás köthető, írja a cég Counter Threat Unit (CTU) blogján.
A Clinton-kampány ellen intézett támadást a CTU ugyan nem tudja közvetlenül kapcsolatba hozni a Democratic National Committee levelezésének korábbi feltörésével, és az így megszerzett emailek június 14-i közzétételével, kutatói azonban feltételezik, a TG-4127 ugyanezt a technikát alkalmazta akkor is, hogy betehesse lábát a DNC hálózatába. A Gmail postaládák mellett a Clinton-kampánnyal vagy a DNC-vel kapcsolatban álló, 26 személy magánlevelezését is célba vették a támadók a CTU szerint.
Márciusban azonosították a Secure Works kutatói azt a szigonyozós adathalász támadássorozatot, amely a Bitly szolgáltatással rövidítette le a rosszindulatú oldalakra mutató URL-eket. A felhasználók ritkán ellenőrzik az adathalász levelekbe vagy mellékleteikbe ágyazott, rövid URL-eket, így nagyobb valószínűséggel kattintanak rájuk.
A rövidített URL-ek ebben az esetben a TG-4127 által létrehozott oldalra mutattak, amely a Google címtartományának bejelentkező oldalaként jelent meg, a célba vett áldozat Gmail címével, ezért eredetinek tűnhetett. Ha a megtámadott felhasználó beírta jelszavát, az a hackerek birtokába került, és attól kezdve folyamatosan hozzáfértek az adott személy levelezéséhez, olvasható a blogon.
Nyílt forráskódú eszközökkel a CTU kutatói a megtámadott, 108 hillaryclinton.com email cím tulajdonosa közül 66-ot azonosítottak. A szigonyozásnak többek között a nemzeti politikáért, a pénzügyekért, a stratégiai kommunikációért, az időbeosztásért és az utazásszervezésért felelő igazgató mellett a sajtótitkár is célpontjává vált. A fennmaradó 42 email címet a TG-4127 más forrásból vagy más módszerekkel szerezhette meg.
Ha a szigonyozás sikerrel jár, a támadók az áldozat levelezése mellett az általa használt, egyéb Google szolgáltatásokhoz is hozzáférnek, illetve további adathalász leveleket küldhetnek ki a szervezeten belüli, legitim email címekről.
A Secure Works kutatói szerint a TG-4127 a Fehér Házat, a német parlamentet és a német kereszténydemokrata uniót, a CDU-t is hasonló módon megtámadta, ugyanakkor az amerikai republikánusok pártját, vagy más elnökjelölteket nem próbálta megszigonyozni - igaz, ez utóbbiak nem a Google levelezőszervereit használták.
Mindennek alapján a Secure Works kutatói mérsékelt bizonyossággal megállapították, hogy a TG-4127 hackercsoport az orosz föderáció területéről indítja támadásait, és az orosz kormány megbízásából végez kémtevékenységet, olvasható CTU blogján.
