בקשת האימות השגרתית "אני לא רובוט" לא הייתה גורמת לרובנו להניד עפעף, אבל כעת גורמים רוסים השתמשו באימות מוכר זה כשער לריגול סייבר. חוקרי אבטחת סייבר חשפו קמפיין זדוני מתוחכם שהשתמש בממשק יומיומי זה כדי לחדור למכשיריהם של גורמי עניין בעלי ערך גבוה.
הקוד הזדוני, המכונה LOSTKEYS, הוא חלק ממבצע רחב יותר המיוחס ל-COLDRIVER – קבוצת האקרים רוסית בחסות המדינה הידועה בפעולתה המתמשכת נגד דיפלומטים מערביים, יועצים צבאיים, ארגונים לא-ממשלתיים ועוד. המבצע נותח לאחרונה על ידי קבוצת מודיעין האיומים של גוגל (GTIG), שאישרה שההתקפות התמשכו לכל הפחות עד אפריל 2025.
הפעולה מתחילה כאשר היעד מפותה לאתר אינטרנט מזויף, לעתים קרובות באמצעות הודעת פישינג בדואר האלקטרוני. שם, במקום לאמת את הזהות של הקורבן, ממשק ה-CAPTCHA המזויף מריץ טכניקת הטעייה הנקראת ClickFix. הקורבנות מתבקשים להדביק פקודה בלתי מזיקה לכאורה – שהועתקה באופן אוטומטי ללוח שלהם – בחלון של Windows Run. פעולה זו מפעילה קובץ script של PowerShell שמפעיל את הקוד הזדוני LOSTKEYS.
לאחר הפריסה, התוכנה הזדונית סורקת את המערכת המארחת, ומחפשת קבצים לפי סוג ומיקום. המטרות הן ברורות: קצירת נתוני התחברות, חילוץ הודעות דוא"ל, והזלגה של רשימות אנשי קשר. במקרים מסוימים שבהם נדרשת גישה רחבה יותר, COLDRIVER מתקינה תוכנות זדוניות נוספות כדי להעמיק את המעקב או להוציא קבצים ישירות מהתקנים שנפרצו.
GTIG איתרה כמה דגימות של הקוד הזדוני מדצמבר 2023, שהוסתרו בתוך קבצים שחיקו כלים כמו Maltego, פלטפורמה פופולרית לאיסוף אוסינט.
קורבנות התקיפה מוגדרים בבירור: לרוב מדובר באנשים הקשורים לממשלות מערביות, במיוחד יועצים בנושאי ביטחון או מדיניות חוץ. ארגונים לא ממשלתיים ואנשי תקשורת עם קשרים לאוקראינה או נאט"ו נמצאים גם הם על הכוונת של COLDRIVER.
Google הגיבה בכך שהשביתה דומיינים זדוניים והתריעה למשתמשי Gmail ו-Workspace שהושפעו מהתקיפה. עם זאת, הופעתה של LOSTKEYS מדגישה מגמה הולכת וגדלה: מינוף ממשקים נפוצים וכלי עבודה מהימנים כדי להוריד כלי הגנה טכנים ולנצל את אמון האדם.
