Хакеры из кибергруппировку Fancy Bear (APT 28), которую часто обвиняют в связях со спецслужбами РФ, пользуются уязвимостью в сервисе Google для того, чтобы проводить атаки на репортеров, занимающихся расследованиями.
Источником проблемы является новый интернет-стандарт Accelerated Mobile Pages (AMP), который Google усиленно продвигает. Информация об ошибке в AMP появилась еще в ноябре минувшего года, однако производитель не спешит ее исправлять.
Стандарт AMP нужен для того, чтобы оптимизировать веб-страницы под мобильные устройства. С конца 2015 года он применяется для работы с упрощенными версиями сайтов, которые могут быстрее загружаться со слабых процессоров смартфонов, если скорость передачи данных невысока. Чтобы ускорить загрузку, Google заранее загружает с поисковой выдачи копии AMP-страниц, что дает пользователю возможность незамедлительно их открывать.
В адресной строке AMP-страницы выглядят не как страницы исходного домена, а как страницы сайта Google.
Отношение экспертов к AMP неоднозначное, поскольку хакеры могут использовать его для того, чтобы маскировать вредоносные веб-страницы, поскольку домен Google вызывает доверие. Используя AMP для создания фишинговых страниц, злоумышленники могут похищать у пользователей учетную информацию, так как жертвы при виде домена google.com в адресной строке, скорее всего, введут свои данные в форму.
По данной схеме работают и хакеры из Fancy Bear, пытаясь украсть учетную информацию пользователей Gmail. Так, группировка проявляет интерес к репортерам, которые расследуют дела о коррупции и правонарушениях, совершенных лицами, связанными с российскими властями.
Так, жертвой хакерской атаки стал журналист Арик Толер из Bellingcat, который занимается анализом публикаций в российских средствах массовой информации. Всего в период с 2015 по 2016 год в адрес журналиста получил 14 фишинговых писем, с помощью которых хакеры пытались украсть его учетную информацию.
