Google: Хакеры обошли двухфакторную аутентификацию Gmail с помощью паролей для приложений

Google опубликовал статью, в которой подтверждает факт взлома учетной записи Gmail через обход многофакторной аутентификации (MFA). Однако, как отмечается, это была целенаправленная атака — скорее всего, обычным пользователям бояться нечего.

Группа Threat Intelligence от Google (GTIG) совместно с исследовательской организацией Citizen Lab провела расследование инцидента. Атака была нацелена на британского исследователя, специализирующегося на России — Кейра Джайлса (Keir Giles). По словам Google, за атакой стоит кибергруппа UNC6293, предположительно связанная с APT29 / ICECAP, также известной как Cozy Bear..

Хакеры провели сложную атаку на основе социальной инженерии. 22 мая 2025 года они представились сотрудником Госдепа США по имени «Claudie S. Weber» и отправили письмо с приглашением на закрытую консультацию по теме, в которой разбирается Джайлс. Хотя письмо пришло с адреса Gmail, хакеры добавили в копию четыре адреса с доменом @state.gov (вероятно, несуществующих) и отправили письмо в рабочие часы по Вашингтону — все для создания иллюзии подлинности. Citizen Lab предполагает, что для составления письма использовалась нейросеть.

После нескольких переписок злоумышленники прислали Джайлсу PDF-файл с инструкцией по регистрации в платформе «MS DoS Guest Tenant» Госдепа. В документе, стилизованном под официальный, содержались шаги по созданию пароля для приложения (App-Specific Password, ASP) для учетной записи Gmail.

Именно этим способом хакеры получили постоянный доступ к почтовому ящику. По данным Google, с апреля по июнь 2025 года они аналогичным образом атаковали ученых и критиков российских властей, выманивая у них ASP для доступа к их почте.

Google обнаружил атаку, заблокировал вредоносные письма и обезопасил взломанную учетную запись. Сам Джайлс узнал о подозрительной активности только в начале июня. Citizen Lab опубликовала подробный отчет об атаке.

GTIG зафиксировала аналогичный эпизод: злоумышленники просили предоставить ASP от Microsoft якобы для настройки почтового клиента, что позволило им получить доступ к содержимому писем. 

Это редкий случай, когда атака была направлена на конкретного человека. Тем не менее, сам факт использования ASP для обхода MFA вызывает тревогу. Будьте внимательны: не вводите такие пароли в подозрительных приложениях и по возможности используйте авторизацию через OAuth (Google, Apple и др.), а не ASP. Если вы опасаетесь атак со стороны государственных структур, активируйте «режим блокировки» (Lockdown Mode) на iPhone или «дополнительную защиту» на Android.

В последнее время Google активно продвигает переход от традиционных паролей к ключам доступа и авторизации через социальные сети — и, как показывает практика, не зря.