Die Phishing-Kampagne ist Teil einer umfassenden Internet-Spionage-Operation, so die Forscher, und erfolgt zu einem Zeitpunkt, zu dem US-Beamte die Computernetzwerke genau überwachen, um mögliche Cyberangriffe auf die Präsidentschaftswahlen 2024 zu vereiteln.
Die E-Mail-Hacks begannen um das Jahr 2022 und zielten auf prominente russische Oppositionelle im Exil, ehemalige Beamte und Akademiker von US-Denkfabriken und politischen Organisationen, Mitarbeiter von gemeinnützigen Organisationen in den USA und der EU sowie auf Medienorganisationen ab, so der Bericht.
Einige der Zielpersonen hielten sich noch in Russland auf, was sie "einem erheblichen Risiko aussetzt", so die Forscher. Sie fügten hinzu, dass die Opfer möglicherweise ausgewählt wurden, um sich Zugang zu ihren umfangreichen Kontaktnetzwerken zu verschaffen.
Phishing ist zwar eine gängige Hacking-Methode, aber ein Merkmal dieser Operation war, dass sich die bösartigen E-Mails oft als Personen ausgaben, die den Opfern bekannt waren, so dass sie authentischer erschienen.
Citizen Lab führt den Hack auf zwei Gruppen zurück: die bekannte russische Hackergruppe Cold River, die von westlichen Geheimdiensten und Sicherheitsbehörden mit dem russischen Föderalen Sicherheitsdienst (FSB) in Verbindung gebracht wird, und eine neue Gruppe mit dem Namen Coldwastrel, die offenbar den russischen Geheimdienst unterstützt.
Die russische Botschaft in Washington reagierte nicht auf eine Anfrage nach einem Kommentar. Russland hat die Vorwürfe des Hackings bei früheren Vorfällen im Zusammenhang mit Cold River stets bestritten.
Eines der Opfer der Hacking-Operation war ein ehemaliger US-Botschafter in der Ukraine, der mit einem "glaubwürdigen Versuch" angegriffen wurde, sich als ein ihm bekannter ehemaliger Botschafter auszugeben, so der Bericht, der den Namen der Person nicht nennt.
Die E-Mails enthielten in der Regel eine angehängte PDF-Datei, die zum Entschlüsseln angeklickt werden musste. Dieser Klick führte die Zielperson auf eine Website, die den Anmeldeseiten von Gmail oder ProtonMail ähnelte. Wenn sie dort ihre Anmeldedaten eingab, konnten die Hacker auf ihre Konten und Mailinglisten zugreifen.
Einige der Zielpersonen der Kampagne fielen darauf herein, sagte Dmitry Zair-Bek, der die russische Menschenrechtsgruppe First Department leitet, die ebenfalls an der Untersuchung beteiligt war.
"Dieser Angriff ist nicht wirklich kompliziert, aber nicht weniger effektiv, denn Sie erwarten keine Phishing-E-Mail von Ihrem Kollegen", sagte Zair-Bek gegenüber Reuters.
Die Gesamtzahl der Opfer liege im zweistelligen Bereich, und die meisten seien in diesem Jahr betroffen, fügte er hinzu, ohne näher darauf einzugehen.
Citizen Lab sagte, dass die Zielpersonen über weitreichende Netzwerke von Kontakten innerhalb sensibler Gemeinschaften verfügten, einschließlich hochriskanter Personen in Russland.
"Für einige von ihnen könnte eine erfolgreiche Kompromittierung schwerwiegende Folgen haben, wie z.B. eine Inhaftierung", so Citizen Lab.
Cold River hat sich als eine der produktivsten russischen Hackergruppen erwiesen, seit sie 2016 erstmals auf dem Radar der Geheimdienste auftauchte.
Nach dem Einmarsch Russlands in die Ukraine hat sie ihre Hacking-Kampagne gegen Kiews Verbündete ausgeweitet und einige ihrer Mitglieder wurden im Dezember von den USA und Großbritannien sanktioniert. (Bericht von Zeba Siddiqui; Bearbeitung durch Crispian Balmer)