UNC1151 uderza w użytkowników Gmaila. CERT ostrzega

CERT Polska ostrzega przed kampanią phishingową grupy UNC1151 wymierzoną w użytkowników poczty Gmail, prowadzoną od marca br.

Mimo że, jak podaje komunikat, dotychczas grupa atakowała głównie użytkowników polskich dostawców poczty, takich jak Onet, Wirtualna Polska czy Interia, obecnie z „dużą intensywnością” obiera za cel także osoby korzystające z Gmaila.

Ataki „są prowadzone z dużą intensywnością”, najczęściej w dni robocze, a ich celem, oprócz wyłudzenia samego hasła, jest również pozyskanie drugiego składnika logowania (np.kodu SMS albo kodu z aplikacji uwierzytelniającej). CERT informuje, że od kilku tygodni każdego dnia obserwuje nowe domeny wykorzystywane w atakach.

Grupa APT od lat wymierzona w Polskę

UNC1151 to grupa APT (advanced persistent threat), która od kilku lat pozostaje jednym z najaktywniejszych aktorów prowadzących działania wymierzone w Polskę. ABW i SKW przypisywały właśnie tej grupie atak na skrzynkę Michała Dworczyka. Najbardziej znaną kampanią łączoną z UNC1151 jest Ghostwriter, którą szerzej opisywaliśmy na naszych łamach w już 2023 r.

Z tego powodu UNC1151 należy do grup szczególnie monitorowanych przez zespół CERT Polska, co pozwala na stosunkowo szerokie spojrzenie na jej dotychczasową aktywność. Głównym celem grupy jest uzyskiwanie dostępu do skrzynek mailowych obywateli: polityków, aktywistów, naukowców, dziennikarzy, pracowników służb oraz osób im bliskich. CERT zaobserwował także ataki na regionalne organizacje i „osoby pełniące określone funkcje,” np. tłumaczy czy biegłych sądowych.

„Przejęte skrzynki są następnie przeszukiwane pod kątem interesujących z punktu widzenia atakujących informacji, takich jak lista kontaktowa (do typowania dalszych celów kampanii), wrażliwe dokumenty czy powiązane konta (np. w mediach społecznościowych), które można przejąć z ich dalszym wykorzystaniem” – pisze CERT.

Jak UNC1151 podszywa się pod Google

Wiadomości mailowe wysyłane przez grupę imitują oficjalne komunikaty Google. Jak podaje CERT, są one najczęściej wysyłane z kont specjalnie założonych na Gmailu, choć czasami obserwowane jest także wykorzystywanie wcześniej przejętych skrzynek mailowych.

Wiadomości są przygotowane w języku polskim, zazwyczaj bez rażących błędów językowych, co wcześniej często stanowiło swego rodzaju lampkę ostrzegawczą. Najczęściej informują o wykryciu podejrzanej aktywności na koncie, nieuprawnionym logowaniu lub naruszeniu regulaminu usług, nakłaniając użytkowników do szybkiego działania pod groźbą blokady albo trwałego usunięcia konta.

Aby rzekomo ochronić konto, użytkownik musi kliknąć w link prowadzący do fałszywej strony imitującej panel logowania Gmaila. To właśnie tam atakujący uzyskują wgląd we wpisywane dane uwierzytelniające, które następnie wykorzystują do natychmiastowej próby zalogowania się na konto ofiary. W ten sposób mogą wyłudzić także drugi składnik uwierzytelniania.

„W momencie wykrycia, że wymagane jest podanie dodatkowego kodu uwierzytelniającego, fałszywa strona wyświetla stosowny formularz, prosząc o jego przekazanie. Mechanizm ten pozwala na wyłudzenie zarówno kodów przesyłanych na numer telefonu, jak i generowanych w aplikacji typu Google Authenticator” – wskazuje CERT Polska w komunikacie.

Poza samym zapleczem technicznym grupa wykorzystuje też socjotechnikę. CERT podkreśla, że jeśli ofiara nie wchodziła w interakcję z wysyłanymi przez grupę treściami, atakujący potrafili wysłać nawet kilka wiadomości w ciągu dwóch dni. Każda kolejna wiadomość zawierała coraz krótszy czas na reakcję przed „blokadą konta”.

Ataki nie ustają i będą ewoluować

CERT zaznacza, że choć grupa wcześniej nie atakowała skrzynek Gmail, a liczba ataków na użytkowników polskich dostawców poczty e-mail zmalała, cel i modus operandi kampanii pozostają takie same.

Grupa atakuje też z taką sammą intensywnośćią. Najprawdopodobniej więc ataki, nie tylko będą kontynuowane, ale też udoskonalane, ponieważ „nie da się ich całkowicie wyeliminować wyłącznie środkami technicznymi”.