Az UNC6293 azonosítóval nyomon követett, vélhetően orosz állami támogatással működő hackercsoport olyan kifinomult adathalász kampányokat hajt végre, amelyek célja a Google-fiókokhoz való hozzáférés megszerzése. A támadások során a többtényezős hitelesítést (MFA) alkalmazásspecifikus jelszavak segítségével kerülik meg.
Az alkalmazásjelszavak speciális, 16 számjegyből álló kódok, amelyeket a Google generál annak érdekében, hogy bizonyos alkalmazások vagy eszközök biztonságosan hozzáférhessenek a Google-fiókhoz, különösen akkor, ha engedélyezve van az MFA.
Általában, amikor bejelentkezünk a Google-fiókba, a szokásos jelszavunkat használjuk, valamint egy második hitelesítési lépést – például egy telefonra küldött kódot. Mivel azonban egyes régebbi vagy kevésbé biztonságos alkalmazások és eszközök – például bizonyos e-mail kliensek, kamerák vagy régi típusú telefonok – nem képesek kezelni ezt a második hitelesítési lépést, a Google lehetőséget biztosít alkalmazásspecifikus jelszavak használatára alternatív bejelentkezési módként.
Fontos azonban megjegyezni, hogy mivel ezek a jelszavak megkerülik a második hitelesítési lépést, a hackerek számára egyszerűbb, könnyebb bejutást kínálnak egy teljes MFA bejelentkezéshez képest, így számukra különösen csábító célpontok.
Az alkalmazás specifikus jelszavakat social engineering technikákkal igyekeznek megszerezni, a támadások célkeresztjében jól ismert személyek – tudósok és az orosz politikát kritizálók – állnak. A támadók az Egyesült Államok Külügyminisztériumának tisztviselőinek adják ki magukat, és részletesen kidolgozott, de nem sürgető hangvételű e-maileket küldenek célpontjaiknak. A céljuk az, hogy ezek a személyek önként hozzanak létre alkalmazásspecifikus jelszavakat, majd azt osszák meg a támadókkal – tévesen azt gondolva, hogy ez biztonságos módja a vendég hozzáférésnek bizonyos platformokhoz.
A spearphishing folyamata
A The Citizen Lab kutatócsoport megvizsgált egy spearphishing támadást, melynek célpontja Keir Giles, az orosz információs műveletek szakértője volt. Az adathalász e-mailt „Claudie S. Weber” néven, Gmail-címről küldték, de több „@state.gov” cím szerepelt másolatként, annak érdekében, hogy minél hitelesebb legyen. Giles egy PDF-fájlt kapott, amely lépésről lépésre leírta, hogyan hozzon létre alkalmazásspecifikus jelszót, amit állítólag az amerikai Külügyminisztérium platformjához való hozzáféréshez kellett megadni. Valójában ezzel a támadók teljes hozzáférést kaptak Gmail-fiókjához.
A Google Threat Intelligence Group (GITG) állítása szerint, ez a célzott spearphishing kampány 2025 áprilisától június elejéig zajlott és két fő irányvonalat követett: az egyik az Egyesült Államok Külügyminisztériumával kapcsolatos témákra, a másik pedig Ukrajnára fókuszált. A hackerek VPS-eket és lakossági proxykat használtak, hogy álcázzák jelenlétüket a kompromittált fiókokba történő bejelentkezés során.
A The Citizen Lab és a GTIG által megfigyelt két social engineering kampány során a támadók hamis személyazonosságokat, valódinak tűnő e-mail-fiókokat és meggyőző dokumentumokat használtak. A célzott személyek gyakran vettek részt politikai vagy tudományos munkában, illetve érzékeny nemzetközi ügyekben.
Javaslatok a védekezéshez
Mivel ez a megkerülési módszer mára népszerűvé vált, a jövőben várhatóan egyre több social engineering típusú támadás fogja kihasználni az alkalmazásspecifikus jelszavakat. Az alábbiakban felsorolunk néhány módszert, melyekkel megelőzhetők az ilyen és ehhez hasonló támadások:
- A Google javasolja az Advanced Protection Program használatát, amely megemelt védelmi szintet biztosít: nem engedélyezi alkalmazásspecifikus jelszavak létrehozását, és kizárólag erősen hitelesített bejelentkezéseket tesz lehetővé.
- Csak akkor használjunk alkalmazásspecifikus jelszót, ha feltétlenül szükséges.
- Továbbra is javasolt az MFA engedélyezése, ahol csak lehetséges.
- Legyünk mindig gyanakvók, az ismeretlen megkeresésekkel szemben.
- Rendszeresen frissítsük az operációs rendszert és az általunk használt alkalmazásokat, valamint engedélyezzük az automatikus frissítéseket.
- Használjunk megbízható biztonsági szoftvereket, melyek képesek blokkolni a rosszindulatú domaineket, felismerni az adathalász próbálkozásokat, illetve általánosan növelik a digitális biztonságot.