کارشناسان امنیتی گوگل هشدار دادهاند هکرهای وابسته به دولت روسیه موفق به دور زدن سیستم احراز هویت دومرحلهای (MFA) در جیمیل شدهاند؛ اقدامی که در چارچوب حملاتی هدفمند و پیچیده صورت گرفته است.
بر اساس گزارش گروه اطلاعات تهدید گوگل (GTIG)، مهاجمان با استفاده از روشهای مهندسی اجتماعی پیشرفته، خود را بهعنوان نمایندگان وزارت امور خارجه آمریکا معرفی کرده و از این طریق با قربانیان ارتباط برقرار کردهاند. آنها پس از جلب اعتماد، قربانی را ترغیب میکردند تا رمز عبوری خاص موسوم به «رمز عبور برنامهای» یا app password ایجاد کند.
رمز عبور برنامهای، یک کد ۱۶ رقمی است که گوگل در شرایطی خاص، مثلا هنگام استفاده از برنامهها یا دستگاههای قدیمی که از احراز هویت دومرحلهای پشتیبانی نمیکنند، برای دسترسی به حساب کاربری تولید میکند. نکته مهم اینجا است که این رمز عبورها مرحله دوم احراز هویت را دور میزنند و در نتیجه نسبت به ورود عادی آسیبپذیرترند.
در یکی از نمونههای مورد بررسی گروه «سیتیزنلب»، مهاجمان ابتدا با ارسال دعوتنامهای جعلی از آدرس جیمیل خود و با کپی کردن چند آدرس مشابه با دامنه @state.gov به قربانی نزدیک شدهاند. استفاده از این آدرسهای جعلی باعث القای اعتبار و رسمیت مکاتبه میشده، در حالی که سرور ایمیل وزارت خارجه آمریکا پیامهایی با آدرسهای غیرواقعی را نیز میپذیرد، بدون آنکه پیامی مبنی بر خطا یا عدم وجود آدرس بازگرداند.
سپس قربانی سندی به ظاهر رسمی دریافت کرده که او را به ساخت حساب کاربری در پلتفرمی موسوم به “MS DoS Guest Tenant” تشویق میکرد. مراحل شرح داده شده در این سند، از جمله ایجاد رمز عبور برنامهای، بهگونهای تنظیم شده بود که قربانی تصور کند برای برقراری ارتباط امن با نهادهای دولتی این اقدامات ضروری است؛ در حالیکه با این کار، هکرها به طور کامل به حساب گوگل قربانی دسترسی مییافتند.
هدف این کارزار چندماهه که با دقت و مهارت بالایی اجرا شده، گروهی از دانشگاهیان و منتقدان دولت روسیه بودهاند. تحلیلگران امنیتی احتمال میدهند این عملیات توسط نهادی وابسته به دولت روسیه برنامهریزی و اجرا شده باشد.
توضیحات بیشتر:
Gmail’s multi-factor authentication bypassed by hackers to pull off targeted attacks