Группа Callisto, также известная как ColdRiver или Star Blizzard и связанная, по данным западных правительств, с ФСБ России, провела фишинговую атаку против международной организации «Репортеры без границ», говорится в новом исследовании компании по кибербезопасности Sekoia. Источник: The Record
Хакеры действуют как минимум с 2017 года и давно известны операциями по краже учетных данных у НПО, госструктур и организаций, поддерживающих Украину. Это происходит на фоне войны, которую Владимир Путин ведет против Украины и всего демократического пространства Европы.
По информации Sekoia, в марте один из ключевых членов «Репортеров без границ» получил письмо с аккаунта ProtonMail, который маскировался под доверенное лицо. Сообщение было написано на французском языке, содержало корректную электронную подпись и побуждало адресата ознакомиться с документом, который якобы должен был быть прикреплен, но отсутствовал. Такой прием Callisto уже использовала, чтобы заставить жертв запросить недостающий файл.
Когда представитель организации запросил документ, злоумышленник ответил уже на английском языке и прислал ссылку, размещенную на взломанном сайте. Эта ссылка должна была перенаправить жертву на вредоносный PDF-файл. Однако получить файл хакерам не удалось, поскольку учетная запись оператора была заблокирована сервисом ProtonMail.
«Репортеры без границ», которые помогают журналистам, находящимся под угрозой, в том числе помогают российским журналистам покидать страну, с августа 2025 года признаны Кремлем «нежелательной организацией». Это фактически делает их работу в России уголовно наказуемой. Организация не комментировала попытку взлома или возможные мотивы хакеров.
По данным Sekoia, аналогичная атака была проведена и против другой структуры, название которой исследователи не раскрывают. В этом случае жертве отправили поддельный PDF-файл, где утверждалось, что документ зашифрован, и предлагалось открыть его через ProtonDrive. Переход по ссылке приводил на фишинговую страницу, созданную для сбора учетных данных ProtonMail.
Эта страница имитировала форму входа в ProtonMail, при этом адрес электронной почты был заранее подставлен. Встроенный JavaScript-код фиксировал курсор в поле ввода пароля, чтобы повысить вероятность того, что пользователь введет свои данные.
Callisto известна шпионскими операциями против западных правительств, оборонных подрядчиков, исследовательских центров и правозащитных организаций, особенно в Восточной Европе и странах, которые поддерживают Украину. Среди ранее зафиксированных целей — структуры, связанные с НАТО и украинская оборонная компания.
Ранее сообщалось, что связанные с СВР российские хакеры применяют новую тактику для кибератак.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet