UNC6293, một nhóm tội phạm mạng người Nga có liên hệ với tổ chức APT29, còn được gọi là Cozy Bear, Cloaked Ursa hoặc Midnight Blizzard, đã tìm ra cách bỏ qua xác thực hai yếu tố do Google triển khai để bảo vệ Gmail. Phương pháp này, được các nhà nghiên cứu xác định tại Phòng thí nghiệm Citizen, đã bị khai thác trong các cuộc tấn công mạng nhằm vào các học giả, nhà báo và những người chỉ trích chế độ Nga từ tháng 4 đến tháng 6 năm 2025. Hai chiến dịch riêng biệt đã được ghi lại trong giai đoạn này.
Để xoa dịu sự nghi ngờ của mục tiêu, bọn tội phạm mạng tỏ ra rất kiên nhẫn. Các cuộc trao đổi email kéo dài vài tuần. Ngoài ra, chúng còn bao gồm một số địa chỉ @state.gov làm bản sao. Trên thực tế, mục tiêu tin rằng họ đang xử lý một thông báo chính thức từ chính phủ Hoa Kỳ.
Trên thực tế, các hướng dẫn được viết theo cách khuyến khích nạn nhân tạo mật khẩu ứng dụng Google. Đây là mã gồm 16 chữ số cho phép ứng dụng cũ hơn hoặc kém an toàn hơn truy cập vào tài khoản Gmail của bạn, ngay cả khi đã bật xác thực hai yếu tố. Một số ứng dụng, chẳng hạn như máy khách email cũ hơn, thiết bị được kết nối hoặc camera an ninh, không hỗ trợ các phương thức xác thực hiện đại. Đó là lý do tại sao mật khẩu ứng dụng tồn tại. Sau khi tạo mã, chuyên gia phải cung cấp mã cho các quan chức chính phủ bị cáo buộc. Để "hoàn tất thiết lập, hãy chuyển tiếp mật khẩu này cho người tại Bộ Ngoại giao Hoa Kỳ đã mời bạn tham gia 'US DoS Guest 0365 Tenant' với tư cách là thành viên thuê bao", email có đoạn viết.
Thay vì thiết lập nền tảng của chính phủ, nạn nhân sẽ cấp cho tin tặc Nga toàn quyền truy cập vào tài khoản Gmail của họ. Sau khi thực hiện xong, tội phạm mạng sẽ có thể đánh cắp được một lượng lớn dữ liệu bí mật. Cuộc tấn công không liên quan đến bất kỳ phần mềm độc hại hoặc khai thác lỗ hổng bảo mật nào. Nó hoàn toàn dựa trên thao túng mục tiêu. Như Google giải thích, "đây không phải là lỗ hổng trong chính Gmail." Trên thực tế, "kẻ tấn công đã lạm dụng tính năng hợp pháp này thông qua kỹ thuật xã hội lừa đảo.".
Google khuyến nghị những người dùng có khả năng bị nhắm mục tiêu tham gia Chương trình bảo vệ nâng cao. Được thiết kế cho những cá nhân có nguy cơ, chương trình này là mức độ bảo mật cao nhất dành cho Tài khoản Google. Chương trình này cũng vô hiệu hóa mật khẩu ứng dụng vì lý do bảo mật.
Nguồn: Google
Một email tự nhận là từ chính phủ
Được các nhà nghiên cứu mô tả là "một cuộc tấn công kỹ thuật xã hội tinh vi và được cá nhân hóa mới", cuộc tấn công bắt đầu bằng việc gửi một email. Những kẻ tấn công mạo danh các quan chức từ Bộ Ngoại giao Hoa Kỳ, bộ liên bang chịu trách nhiệm về quan hệ quốc tế. Một trong những email được nghiên cứu được cho là do một người tên là Claudie S. Weber ký. Trong email, quan chức này mời người liên hệ của mình tham gia "cuộc trò chuyện trực tuyến riêng tư" đòi hỏi chuyên môn của cô ấy. Cuộc tấn công thực sự đã nhắm vào rất nhiều chuyên gia nổi tiếng, chẳng hạn như Keir Giles, chuyên gia người Anh về sự can thiệp của Nga.Để xoa dịu sự nghi ngờ của mục tiêu, bọn tội phạm mạng tỏ ra rất kiên nhẫn. Các cuộc trao đổi email kéo dài vài tuần. Ngoài ra, chúng còn bao gồm một số địa chỉ @state.gov làm bản sao. Trên thực tế, mục tiêu tin rằng họ đang xử lý một thông báo chính thức từ chính phủ Hoa Kỳ.
Mật khẩu ứng dụng Google
Trong cuộc trò chuyện, bọn tin tặc sẽ mời chuyên gia tham gia nền tảng có tên là MS DoS Guest Tenant. Nền tảng này sẽ cho phép mục tiêu "dễ dàng tham dự các cuộc họp trong tương lai, bất kể chúng diễn ra khi nào". Mong muốn được tham gia, chuyên gia sẽ chấp nhận. Sau đó, họ sẽ nhận được một tệp PDF chứa đầy đủ hướng dẫn chi tiết về cách cấu hình quyền truy cập vào nền tảng.Trên thực tế, các hướng dẫn được viết theo cách khuyến khích nạn nhân tạo mật khẩu ứng dụng Google. Đây là mã gồm 16 chữ số cho phép ứng dụng cũ hơn hoặc kém an toàn hơn truy cập vào tài khoản Gmail của bạn, ngay cả khi đã bật xác thực hai yếu tố. Một số ứng dụng, chẳng hạn như máy khách email cũ hơn, thiết bị được kết nối hoặc camera an ninh, không hỗ trợ các phương thức xác thực hiện đại. Đó là lý do tại sao mật khẩu ứng dụng tồn tại. Sau khi tạo mã, chuyên gia phải cung cấp mã cho các quan chức chính phủ bị cáo buộc. Để "hoàn tất thiết lập, hãy chuyển tiếp mật khẩu này cho người tại Bộ Ngoại giao Hoa Kỳ đã mời bạn tham gia 'US DoS Guest 0365 Tenant' với tư cách là thành viên thuê bao", email có đoạn viết.
Thay vì thiết lập nền tảng của chính phủ, nạn nhân sẽ cấp cho tin tặc Nga toàn quyền truy cập vào tài khoản Gmail của họ. Sau khi thực hiện xong, tội phạm mạng sẽ có thể đánh cắp được một lượng lớn dữ liệu bí mật. Cuộc tấn công không liên quan đến bất kỳ phần mềm độc hại hoặc khai thác lỗ hổng bảo mật nào. Nó hoàn toàn dựa trên thao túng mục tiêu. Như Google giải thích, "đây không phải là lỗ hổng trong chính Gmail." Trên thực tế, "kẻ tấn công đã lạm dụng tính năng hợp pháp này thông qua kỹ thuật xã hội lừa đảo.".
Google khuyến nghị những người dùng có khả năng bị nhắm mục tiêu tham gia Chương trình bảo vệ nâng cao. Được thiết kế cho những cá nhân có nguy cơ, chương trình này là mức độ bảo mật cao nhất dành cho Tài khoản Google. Chương trình này cũng vô hiệu hóa mật khẩu ứng dụng vì lý do bảo mật.
Nguồn: Google
