De Russische geheime dienst FSB heeft jarenlang Britse politici en bekendheden gehackt om informatie te ontfutselen. De FSB zou die informatie onder meer later weer laten uitlekken, om democratische processen te ondermijnen. Dat claimt de Britse overheid.
De groep zou onder meer spearphishing gebruiken om informatie te ontfutselen en zo toegang te krijgen tot mailaccounts, zegt de Britse overheid. Bij spearphishing doen criminelen zich voor als een bekende van het slachtoffer, bijvoorbeeld in een mail. De hackers zouden sinds 2015 actief zijn en Britse politici, universiteiten, journalisten, stichtingen, denktanks en andere organisaties als doelwit hebben. De groep zou onder meer voor de Britse verkiezingen van 2019 handelsdocumenten met de Verenigde Staten hebben laten uitlekken, die met hacks waren verkregen.
De hacks zouden uitgevoerd zijn door een groep die bekendstaat als Callisto Group, Seaborgium, Coldriver of Star Blizzard, en onder leiding van FSB-onderdeel Centre 18 zou staan. De groep zou gestolen informatie 'selectief uitlekken', in lijn met 'confrontatiedoelen' van de Russische overheid. Zo zou de Russische overheid het vertrouwen in de Britse 'en vergelijkbare' democratische stelsels willen ondermijnen.
De Britse overheid zegt vanwege de hacks dat twee Russen die lid zijn van de hackgroep, sancties krijgen opgelegd en worden aangeklaagd. Ook de Amerikaanse overheid zou sancties opleggen aan het duo. De Russische ambassadeur wordt ook op het matje geroepen. De groep zou voornamelijk actief zijn in het Verenigd Koninkrijk en de Verenigde Staten, en in mindere mate in andere NAVO-lidstaten.
Volgens het Britse National Cyber Security Centre, ofwel NCSC, onderzoekt de groep het doelwit eerst via sociale media om zo de hobby's en contacten van het doelwit in kaart te kunnen brengen. Daarna worden mailaccounts en accounts op sociale media aangemaakt, waarbij ze zich bijvoorbeeld voordoen als experts. Die mailaccounts gebruiken domeinnamen die moeten lijken op de domeinnaam van bestaande bedrijven. De criminelen nemen vervolgens contact op met het doelwit, maar houden het contact eerst onschuldig om vertrouwen te kunnen opbouwen.
Pas als dit vertrouwen is opgebouwd, sturen de criminelen een link naar een site die in beheer is van de hackers. Deze site lijkt op de inlogpagina van een bekend platform en vraagt de gebruiker om in te loggen. Door het gebruik van de EvilGinx-framework kunnen de hackers volgens het NCSC de inloggegevens en sessiecookies ontfutselen. Met die sessiecookies omzeilen de hackers ook 2fa-checks. Hierna loggen de criminelen in op het e-mailaccount van het slachtoffer, waar ze mails en bijlagen stelen, en ervoor zorgen dat nieuwe mails automatisch worden geforward naar de criminelen. Ze krijgen ook toegang tot de contactlijsten van het slachtoffer die ze gebruiken om nieuwe doelwitten te vinden, en ze gebruiken het mailaccount voor nieuwe phishingmails.