Компания Mandiant, занимающаяся обеспечением кибербезопасности и входящая в состав корпорации Google, подтвердила, что ее официальный аккаунт в сервисе X (в прошлом Twitter) был взломан. Атака произошла 3 января и, судя по всему, злоумышленники взломали учетную запись путем перебора паролей (brute force attack). Аккаунт был защищен двухфакторной аутентификацией, которая должна была предотвратить взлом, однако, по словам представителей Mandiant, ряд изменений в команде и одновременно в политике двухфакторной аутентификации сервиса X привел к тому, что защита оказалась недостаточной. «Работая совместно с X, мы смогли восстановить контроль над учетной записью. Основываясь на проведенном анализе, мы можем сказать, что не обнаружено никаких следов вредоносной активности или компрометации в системах Mandiant или Google Cloud, которые могли бы повлечь за собой компрометацию аккаунта», – говорится в заявлении компании.

Тем не менее, негативные последствия инцидента могут оказаться достаточно серьезными. Атакующие разместили в аккаунте Mandiant, на который подписаны более 123 тысяч пользователей, ссылки на фишинговые страницы, созданные для похищения криптовалюты. И многие пользователи, полностью доверяя авторитету компании, вполне могли попасться в эту ловушку. За атакой, очевидно, стоит одна из киберпреступных группировок, действующих по модели drainer-as-a-service (DaaS). Термином «дрейнер» (drainer) обозначаются специальные вредоносные программы для похищения криптовалюты. Операторы сдают их в аренду «партнерам», непосредственно осуществляющим атаки, оставляя себя в качестве платы 20% от суммы похищенных средств.

Исследователи Mandiant установили, что фишинговые страницы, на которые вели ссылки со взломанного аккаунта, использовали вредоносную программу-дрейнер CLINKSINK. Эта программа используется с декабря прошлого года для похищения средств и токенов аутентификации пользователей криптовалюты Solana. По оценкам Mandiant, сумма средств, похищенных в ходе этих атак, составляет не менее 900 тысяч долларов.