Российские хакеры обошли защиту Google через «встроенную» лазейку

Фото: Profimedia

Группа профессиональных хакеров провела изощрённую фишинговую кампанию против западных экспертов и дипломатов, сумев обойти двухфакторную аутентификацию Google за счёт малозаметной функции — паролей для отдельных приложений (Application-Specific Passwords, ASP).

Операция длилась с апреля по начало июня 2025 года. Как сообщает команда Google Threat Intelligence, злоумышленники (внутри компании отслеживаются под именем UNC6293 и ассоциируются с APT29 — та самая группа, которую США обвиняли во взломе Национального комитета Демпартии в 2016 году) вели переписку с жертвами на безупречном английском языке, имитируя стиль сотрудников Госдепа США. Письма не вызывали подозрений, не возвращались как недоставленные, а в копиях указывались фальшивые адреса в домене @state.gov.

Одной из целей стал аналитик Chatham House — британский эксперт по России Киер Джайлс. Он получил более 10 писем от «Клодии С. Вебер», предположительно сотрудницы Госдепа, с подробными инструкциями по настройке ASP-пароля, якобы необходимого для безопасного доступа к материалам. Хакеры просили сгенерировать 16-значный пароль с пометкой «ms.state.gov» и отправить его обратно.

Получив этот код, злоумышленники получали постоянный доступ к Gmail-аккаунту без необходимости подтверждения входа через второй фактор — SMS или приложение.

Анализ, проведённый Citizen Lab, показал, что тексты писем и поддельный шестистраничный PDF-документ были лишены привычных для фишинга языковых ошибок. Исследователи предполагают, что в подготовке материалов использовались нейросети, что сделало обман ещё более правдоподобным.

Google заявила, что большинство украденных паролей уже аннулировано, а пострадавшие аккаунты — заблокированы. Тем не менее компания и Citizen Lab настоятельно рекомендуют всем, кто может быть потенциальной целью кибератак, включить режим расширенной защиты и проверить, нет ли в их аккаунтах активных ASP-паролей.