Adathalászat hírszerzői háttérrel
A Silent Push biztonsági elemzői egy olyan adathalász kampányt fedeztek fel, amelyben a támadók különböző szervezetek hivatalos weboldalait utánozzák, hogy információkat gyűjtsenek orosz állampolgárokról, akik Ukrajnát támogatják. Az ilyen jellegű tevékenységek az Orosz Föderációban illegálisnak minősülnek, és az érintett személyek gyakran letartóztatásra és vádemelésre számíthatnak. A kampány mögött valószínűleg az orosz hírszerző szolgálatok vagy velük együttműködő fenyegetési szereplők állnak.
A kampány négy fő adathalász klaszterből áll:
Az Egyesült Államok Központi Hírszerző Ügynökségének hivatalos weboldalát másoló oldalak, amelyek célja, hogy információkat gyűjtsenek azokról, akik kapcsolatba kívánnak lépni a CIA-val. Ilyen hamisított oldalak a www.cia-usa[.]org, www.cia-gov[.]org, www.cia-gov[.]com, www.ciausgov[.]org, www.ciausa[.]org, www.cia-intelligence[.]org.
A Russian Volunteer Corps egy ukrán hadsereghez tartozó egység, amely orosz állampolgárokból áll. A hamis weboldalak az RVC hivatalos oldalát utánozzák, és arra ösztönzik a látogatókat, hogy csatlakozzanak vagy támogassák a csoportot, miközben valójában a látogatók személyes adatait gyűjtik.
Az orosz állampolgárokból álló Szabadság Légiója (Legion Liberty) nevű csoport hivatalos weboldalát utánzó oldalak, amelyek hasonló módon próbálnak információkat szerezni a látogatókról.
Egy ukrán hírszerző szolgálat által működtetett forródrótot (Hochuzhit), amely orosz katonáknak nyújt lehetőséget a megadásra. A hamis weboldalak ezt a szolgáltatást imitálják, hogy az érdeklődő katonák adatait megszerezzék.
A kampány során a támadók olyan weboldalakat hoztak létre, amelyek megtévesztően hasonlítanak a fent említett szervezetek hivatalos oldalaira. Ezeken az oldalakon keresztül a látogatók személyes adatait próbálják megszerezni, beleértve a nevüket, elérhetőségeiket és egyéb érzékeny információkat. A hamis oldalak egy ismert bulletproof hosting szolgáltatónál, a Nybula LLC-nél (ASN 401116) kerültek elhelyezésre, ami tovább nehezíti a jogi lépéseket és az oldalak eltávolítását. Ezek az oldalak gyakran pontos vizuális másai a valódi oldalaknak, néha még HTTPS-t is használnak, hamis tanúsítvánnyal, hogy legitimebbnek tűnjenek. Több domain is ugyanazon infrastruktúráról működik, ami arra utal, hogy a kampányt központosítottan, egységesen koordinálják.
Fontos megjegyezni, hogy az ilyen típusú adathalász kampányok különösen veszélyesek lehetnek az érintett egyének számára, mivel az Oroszországban érvényes törvények szerint az Ukrajnát támogató tevékenységek illegálisak, és súlyos következményekkel járhatnak. Ezért kiemelten fontos, hogy az érintettek körültekintően járjanak el, és ellenőrizzék a weboldalak hitelességét, mielőtt bármilyen személyes információt megadnának.
