Denník Financial Times v piatok informoval o útoku, ktorému čelila skupina investigatívnych novinárov z Bellingcatu. Útočníci, ktorí novinárom rozoslali phishingové emaily, sa od nich pokúsili získať prihlasovacie údaje do účtov tým, že podvrhli prihlasovaciu stránku služby ProtonMail.

Skupina Bellingcat sa dlhodobo venuje vyšetrovaniam káuz spojených s ruskou tajnou službou GRU. Službu ProtonMail využívala na zdieľanie citlivých informácií o prípadoch zostrelenia letu MH17 a otrávenia Sergeja Skripaľa, v ktorých údajne mali figurovať agenti GRU. K útoku došlo práve v čase, kedy Bellingcat pri príležitosti piateho výročia zostrelenia MH17 zverejnil o prípade nové dokumenty. Švajčiarska emailová služba zaznamenala pokusy o krádež účtov už v stredu. Následne pracovala spolu s miestnymi úradmi na vypnutí podvrhnutých webstránok a blokácii ďalších falošných e-mailov. Podľa vyjadrenia zakladateľa služby Andyho Yena útočníci dobre vedeli, čo robia.

Útočníci si zaregistrovali domény, ktoré napodobňovali používateľské rozhranie ProtonMailu. Zaplatili za ne Bitcoinami cez prostredníkov. Prihlasovaciu stránku podvrhnutých webov zosynchronizovali s reálnou stránkou ProtonMailu tak, aby od obete mohli získať overovacie kódy pre dvojfaktorovú autentizáciu. Novinárov znervóznilo najmä to, ako a odkiaľ mohli útočníci získať ich prihlasovacie mená a adresy na ProtonMail vzhľadom na to, že používajú anonymizované adresy, o ktorých vie len uzavretý kruh dôveryhodných kontaktov. „Predpokladám, že jeden z nich museli kompromitovať. Takže budeme musieť zmeniť naše účty,“ dodal Grozev.

Podľa člena obranného výboru hornej komory ruského parlamentu Franca Klinceviča nie sú tvrdenia skupiny Bellingcat dostatočne presvedčujúce. „Podľa môjho názoru tu hovoríme o pokuse oživiť takzvanú kauzu Skripaľ. Môžem len povedať, že problémom ľudí, ktorí ju chcú oživiť je ich fantázia a nepodložené tvrdenia, ktoré priamo pred našimi očami hnijú čím ďalej, tým viac a viac. Už ich viac nezaujíma hodnovernosť.” Vzhľadom na to, že Bellingcat sa často objavuje v západných médiách a spolupracuje so západnými spravodajskými službami, celý prípad podľa Klinceviča naberá na pikantnosti. „V skratke, provokácia je provokácia. A všetko okolo toho sa robí neprofesionálne,“ dodal.

ProtonMail vo svojom sobotňajšom stanovisku informoval, že žiadny z útokov nebol úspešný. Zároveň sa ohradil voči niektorým článkom, ktoré nesprávne tvrdili, že pri útoku bola služba hacknutá. Vysvetlil, že v prípade akým bol tento je útok vedený priamo proti používateľovi a nie službe samotnej. Tá totiž využíva end-to-end a zero-access šifrovanie, ktoré používateľovi zaručuje, že správy uložené na jej serveroch sama nedokáže rozlúštiť. Jediný človek, ktorý je toho schopný je majiteľ emailovej schránky. Preto útočníci zvolili útok priamo na novinárov a nie ProtonMail.

Kyberbezpečnostná firma ThreatConnect, ktorá sa zapojila do vyšetrovania vo svojej správe píše, že útočníkom sa podarilo podvrhnúť meno odosielateľa technikou zvanou „spoofing“ tak, aby to vyzeralo, že správa prišla od podporného tímu ProtonMailu. Samotná správa upozorňovala adresáta na možný prienik do jeho účtu na ProtonMaili a vyzvala ho k zmene hesla alebo vytvoreniu nových šifrovacích kľúčov. Okrem podobného vzorca útoku a využitia rovnakých web-hostingov však ani ThreatConnect nedokáže s istotou povedať, či za útokom stála skupina Fancy Bear.

Zdroj: Cybersec