Google επιβεβαιώνει παράκαμψη του MFA

Η Google δημοσίευσε ένα άρθρο που επιβεβαιώνει ότι hackers παρέκαμψαν τον πολυπαραγοντικό έλεγχο ταυτότητας (MFA από το multifactor authentication) του Gmail για να παραβιάσουν τον λογαριασμό ενός ατόμου. Όχι, πιθανότατα δεν θα σας συμβεί, επειδή επρόκειτο για στοχευμένη επίθεση.

Το Google Threat Intelligence Group (GTIG) εξηγεί τι συνέβη στο blog της εταιρείας. Η ομάδα της Google συνεργάστηκε με το Citizen Lab, για να διερευνήσει το περιστατικό.

Το GITG είχε παρατηρήσει ότι οι hackers είχαν σχεδιάσει μια εξελιγμένη, προσωπική, επίθεση κοινωνικής μηχανικής (social engineering attack) για να στοχεύσουν τον Keir Giles, έναν εξέχοντα Βρετανό ερευνητή που ερευνά επιθέσεις από την Ρωσία.

Η ομάδα της Google έχει αναγνωρίσει την κακόβουλη ομάδα σαν UNC6293, και υποθέτει ότι είναι κρατικά χρηματοδοτούμενη από την Ρωσία.

Έχουμε δει επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) που αφορούσαν εφαρμογές ανταλλαγής μηνυμάτων με spyware όπως το Pegasus, αλλά αυτοί οι hackers χρησιμοποίησαν μια νέα τεχνική. Είχαν λάβει προφυλάξεις για να μην τους υποπτευθεί ο Giles.

Έτσι στις 22 Μαΐου 2025, οι εισβολείς μιμήθηκαν έναν αξιωματούχο του Υπουργείου Εξωτερικών των ΗΠΑ, την “Claudie S. Weber”, σε ένα email που προσκαλούσε τον κ. Giles σε μια ιδιωτική διαδικτυακή συμβουλευτική συνάντηση για να συζητήσουν κάτι στον τομέα της εξειδίκευσής του. Ο hacker ή οι hackers χρησιμοποίησε απλώς μια διεύθυνση Gmail, αλλά είχε 4 διευθύνσεις email με CC-ed 4 @state.gov, πιθανώς για να παριστάνει τον νόμιμο αποστολέα, και είχε στείλει το email και κατά τις εργάσιμες ώρες της Washington D.C..

Στην πραγματικότητα, οι διευθύνσεις .gov πιθανότατα δεν υπάρχουν. Το Citizen Lab αναφέρει ότι η γλώσσα και η γραμματική φαίνεται να υποδηλώνουν ότι οι hackers είχαν χρησιμοποιήσει κάποιο γλωσσικό μοντέλο ή κάποια παρόμοια εργαλεία τεχνητής νοημοσύνης για να δημιουργήσουν τα email.

Ο Giles απάντησε ότι η ημερομηνία μπορεί να μην κάνει για την διαδικτυακή συνάντηση, και ο εισβολέας απάντησε προσκαλώντας τον να εγγραφεί στην πλατφόρμα “MS DoS Guest Tenant” του Υπουργείου Εξωτερικών, από όπου θα μπορούσε να παρακολουθεί μελλοντικές συναντήσεις με ευκολία, όπου κι αν πραγματοποιούνται.

Περίπου 10 email αργότερα, ο hacker έστειλε στο θύμα ένα αρχείο PDF με λεπτομέρειες σχετικά με τον τρόπο εγγραφής στον εν λόγω λογαριασμό. Το εν λόγω PDF είχε σχεδιαστεί προσεκτικά ώστε να μοιάζει με επίσημο έγγραφο και περιείχε επισημάνσεις, και ιστορικό αναθεωρήσεων-διορθώσεων.

Το PDF περιείχε οδηγίες για τη δημιουργία ενός κωδικού πρόσβασης για συγκεκριμένη εφαρμογή (ASP από το app specific passwords) για τον λογαριασμό του στο Gmail. Για όσους δεν γνωρίζουν οι κωδικοί ASP που μπορείτε να βρείτε στον λογαριασμό σας στην Google αν κάνετε αναζήτηση για app password, παρακάμπτουν/δεν χρειάζονται τον πολυπαραγοντικό έλεγχο ταυτότητας.

Η Google αναφέρει ότι η συγκεκριμένη ομάδα από την Ρωσία είχε στοχεύσει εξέχοντες ακαδημαϊκούς και επικριτές της Ρωσίας από τις αρχές Απριλίου έως τον Ιούνιο του 2025, χτίζοντας σχέσεις εμπιστοσύνης, και δελεάζοντάς τους να ορίσουν κωδικούς πρόσβασης για συγκεκριμένες εφαρμογές, τις οποίες στη συνέχεια εκμεταλλεύονταν για να αποκτήσουν μόνιμη πρόσβαση στο inbox του θύματος.

Ο Giles εξαπατήθηκε από τους υπομονετικούς hackers, και δημιούργησε τον λογαριασμό με το password που του ζητούσαν.

Η Google αναφέρει ότι εντόπισε την επίθεση και κατάφερε να κλειδώσει τους λογαριασμούς που επηρεάστηκαν, ενώ παράλληλα μπλόκαρε τα email του εισβολέα. Τότε ήταν που ανακάλυψε ο Giles ότι είχε γίνει μια ύποπτη προσπάθεια σύνδεσης στις αρχές Ιουνίου.

Πρόκειται για ένα σπάνιο σενάριο και είναι πολύ πιθανόν να μην συμβεί σε απλούς χρήστες του διαδικτύου.

Όμως το γεγονός ότι χρησιμοποιήθηκαν ASP κωδικοί πρόσβασης για την παραβίαση του λογαριασμού είναι ανησυχητικό. Απλώς να είστε προσεκτικοί σε ποια εφαρμογή συνδέεστε χρησιμοποιώντας ASP (app specific passwords) ή να τα αποφύγετε εντελώς και να χρησιμοποιήσετε το OAuth για να συνδεθείτε σε εφαρμογές με τον λογαριασμό σας στην Google ή την Apple κ.λπ.