Розслідування Лабораторії цифрової безпеки (Digital Security Lab Ukraine)
Короткий огляд
8 липня 2026 року члени громадянської мережі “ОПОРА” отримали фішинговий лист із темою “Вимога про усунення плагіату”, нібито від юридичного відділу відомого українського видання “ГОРДОН”. Лист був частиною ретельно підготовленої кампанії, спрямованої на викрадення доступу до поштових скриньок Google співробітників організації.
Ключова особливість атаки – зловмисники не крали паролі у класичному розумінні. Замість цього вони застосували техніку OAuth consent phishing: жертву переконували авторизувати підставний застосунок через справжній механізм входу Google, надаючи зловмисникам постійний токен доступу до Gmail із правами читання, надсилання та видалення листів. Такий токен не анулюється зміною пароля і залишається дійсним, доки жертва вручну не відкличе дозвіл.
Розслідування виявило добре сплановану, багатошарову інфраструктуру: домен-двійник відправника з повністю налаштованою автентифікацією пошти (яка проходила SPF, DKIM і DMARC), проміжний домен-фільтр із hCaptcha для відсіювання автоматичних сканерів, підроблену сторінку Google Drive на React, і ланцюжок доменів для генерації та перехоплення OAuth-токена. Усі домени зареєстровано в один день – за два тижні до атаки, через чотирьох різних реєстраторів, що свідчить про свідому підготовку до протидії виявленню та блокуванню.
Ця кампанія повторює тактику, задокументовану нашими партнерами з CyberHUB-AM у березні 2026 року щодо спрямованого фішингу проти вірменського громадянського суспільства і вписується у ширшу тенденцію атак на правозахисні та громадські організації регіону.
Таргетинг фішингової кампанії
“Громадянська мережа ОПОРА” – одна з провідних українських громадських організацій, що займається незалежним спостереженням за виборами, парламентським моніторингом та аналітикою.
Громадські та правозахисні організації в Україні систематично перебувають під тиском цілеспрямованих кібероперацій. Доступ до пошти такої організації відкриває зловмиснику не лише листування, а й можливість подальшого розповсюдження атаки серед довірених контактів, компрометації партнерів і збору матеріалів для подальших операцій.
Фішинговий лист
Typosquatting – це вид кібершахрайства, коли зловмисники реєструють доменні імена, що є дуже схожими на назви легітимних сайтів, розраховуючи на друкарські помилки користувачів. Наприклад, введення gooogle.com замість google.com)
Лист надійшов 8 липня 2026 на адресу співробітника ОПОРИ. У полі відправника значилося:
Справжній домен редакції “ГОРДОН” – gordonua.com. Зловмисники зареєстрували домен-двійник gordorua.com, підмінивши одну літеру (n – r). Візуально в потоці вхідних листів різницю складно помітити. Проте у підписі листа вказано справжню адресу [email protected], що може створювати ілюзію легітимності.
Соціальна інженерія
Текст листа побудовано на юридичному тиску. Нібито від імені “старшої спеціалістки юридичного відділу Вікторії Вороніної” висувалася вимога видалити авторську статтю ОПОРИ про поновлення повноважень депутатів Домажирівської сільської ради, звинувачуючи організацію в плагіаті. Стаття, на яку посилалися, справді була опублікована на сайті організації ще у 2020 році. Це додає правдоподібності оскарженню.
Все в листі закликало ознайомитись з деталями скарги і перейти за посиланням, яке структурно імітує посилання на Google Drive:
Лист пройшов усі перевірки автентифікації пошти:
Зловмисники не підробляли домен gordonua.com. Вони зареєстрували власний домен gordorua[.]com і налаштували для нього повноцінну поштову інфраструктуру на Microsoft 365 із валідними записами SPF, DKIM та DMARC. З погляду поштового сервера, лист справді надійшов від легітимного власника домену gordorua[.]com – тому Google не позначив його як спам.
Домен-фільтр
Перехід за посиланням не одразу веде на фішингову сторінку. Домен drive[.]sharedfilesid175[.]com виконує роль проміжного фільтра і його поведінка ймовірно залежить від країни відвідувача:
- З українських IP-адрес сервер одразу віддає HTTP 302 – пряме перенаправлення на drive[.]sharedfilesid164[.]com.
- З неукраїнських IP-адрес (перевірено з декількох європейських адрес) сервер віддає HTTP 200 зі сторінкою hCaptcha. Лише після розв’язання капчі (POST /__verify) відвідувач потрапляє далі.
Це не жорстке геоблокування, а швидше механізм відсіювання автоматичних сканерів і пісочниць (які не вміють пройти hCaptcha) та зниження видимості кампанії для дослідників поза цільовим регіоном.
Підроблений Google Drive
Після проходження шлюзу відкривається https://drive[.]sharedfilesid164[.]com – сторінка імітує інтерфейс Google Drive із заголовком “My Drive – Google Drive” та однією “розшареною” папкою у якій лежить нібито PDF-документ:
Аналіз JavaScript сторінки показує, що це повноцінний React-застосунок (React + Redux Toolkit + i18next, зібраний Vite), а весь вміст “папки” захардкоджено в коді:
Через кілька секунд або при спробі завантажити файл спрацьовує модальне вікно з єдиною дією – “Continue with Google”. Це і є пастка.
Пастка OAuth consent
Натискання “Continue with Google” запускає ланцюжок перенаправлень, який завершується на справжній сторінці Google:
На сторінці accounts.google.com жертва бачить автентичний інтерфейс Google із запитом дозволу для застосунку. Саме тут відбувається ключовий момент – надання зловмисникам доступу до свого акаунту.
Параметри OAuth-запиту:
Чому це небезпечніше за крадіжку пароля?
- Параметр gmail.modify дає повний контроль над поштою: читати, надсилати від імені жертви, видаляти (зокрема попередження безпеки від Google), зчитувати коди двофакторної автентифікації, розсилати листи далі по контактах.
- access_type=offline змушує Google видати refresh_token без терміну дії. Зміна пароля Google не анулює цей токен.
- Двофакторна автентифікація не захищає від цієї атаки – жертва вже пройшла всі перевірки Google самостійно.
Єдиний спосіб припинити доступ – вручну відкликати дозвіл шкідливому додатку на сторінці https://myaccount.google.com/permissions.
Ця схема, авторизація фіктивного OAuth-застосунку замість крадіжки облікових даних, прямо перегукується з кампанією проти вірменського громадянського суспільства, задокументованою CyberHUB-AM.
Невдала спроба або швидка реакція Google
Останній етап атаки під час дослідження не спрацював і це дуже дивно. Стільки підготовки інфраструктури, але останній штрих виявився неробочим. Як видно зі скріншоту, Google відмітив додаток як неверифікований.
Аналіз інфраструктури
DSLU проаналізували дані пасивного DNS та WHOIS, які розкривають складну і навмисно розподілену інфраструктуру.
Реєстрація доменів
Усі чотири домени зареєстровано в один день – 24 червня 2026 року, за два тижні до атаки. При цьому використано чотирьох різних реєстраторів і різних DNS-провайдерів:
| Домен | Дата реєстрації | Реєстратор | Роль |
| gordorua[.]com | 2026-06-24 | VSYS | Домен-відправник (двійник gordonua.com) |
| sharedfilesid175[.]com | 2026-06-24 | Tucows | Домен-фільтр (hCaptcha) |
| sharedfilesid164[.]com | 2026-06-24 | NameSilo | Фішингова сторінка |
| sharedfilesid[.]com | 2026-06-24 | NiceNIC | Генератор OAuth URL |
| gordonua[.]onrender[.]com | ? | Amazon | Ексфільтрація OAuth |
Одночасна реєстрація підтверджує єдиний задум, а розподіл між реєстраторами й DNS-провайдерами надає захист від виявлення та блокування.
Хостинг і CDN
Поштова та DNS-інфраструктура gordorua[.]com:
DNS делеговано на VSYS. Nameserver-и VSYS резолвляться у діапазони кількох ASN, зокрема Virtual Systems LLC (ASN 6698, Україна). Пошта відправника фішингу на Microsoft 365.
Фішингові домени drive[.]sharedfilesid175[.]com, drive[.]sharedfilesid164[.]com та sharedfilesid[.]com приховані за BunnyCDN. BunnyCDN виступає проксі-шаром, що приховує реальний origin. Ймовірно повний ланцюг: BunnyCDN -> Cloudflare -> Render.com. Сервер збору токена gordonua[.]onrender[.]com розміщено безпосередньо на Render.com як і ймовірно фішингова сторінка (безкоштовний PaaS).
Google Workspace на фішинговому домені
Домен drive[.]sharedfilesid164[.]com має власний налаштований Google Workspace:
MX-записи вказують на Google (aspmx.l.google.com та alt-сервери)
присутній TXT-запис “google-site-verification=g4uJHVKRsz3YNsU1tqAZOjg9QgO3twmIFeQd3aJrikQ”.
Це означає, що зловмисники контролюють обліковий запис Google Workspace, повʼязаний з фішинговим доменом. Однак, коли ми спробували пройти процедуру OAuth, Google відобразив екран “Доступ заблоковано” – домен gordonua[.]onrender[.]com не пройшов процедуру верифікації Google і був доступний лише для розробників.
Згідно з довідкою налаштування Google OAuth consent screen поле Support email не можна заповнювати довільно, його потрібно вибрати зі списку, обмеженого адресами, які вже мають роль “Власник” у відповідному проєкті Google Cloud. Це вказує на те, що [email protected] найімовірніше має прямий адміністративний контроль над проектом Google Cloud, що стоїть за цим клієнтом OAuth. І може бути не повʼязаним з Google Workspace на drive[.]sharedfilesid164[.]com.
Висновки
Наш аналіз вказує на організованого, ресурсного та добре підготовленого актора з чітким таргетингом на українське громадянське суспільство:
- Ретельна підготовка інфраструктури за два тижні, з диверсифікацією реєстраторів і CDN-фронтингом.
- Легітимна поштова автентифікація (M365 + SPF/DKIM/DMARC) для гарантованої доставки у Вхідні.
- Продумана соціальна інженерія з реальними деталями (справжня стаття 2020 року, реальне видання для прикриття).
- Технічно складніший OAuth-consent вектор, що обходить двофакторну автентифікацію та зміну пароля.
- Фільтрація за країною, орієнтована на українських користувачів.
На основі наявних даних ми поки не можемо приписати кампанію конкретному угрупованню. Атрибуція потребує подальшого дослідження.
Рекомендації
Для персональних Google акаунтів:
- Перевірте налаштування своїх Google акаунтів (персональні та корпоративні). Відкрийте myaccount.google.com/permissions і видаліть невідомі додатки.
- В налаштуваннях Gmail перевірте правила фільтрів та пересилання пошти.
- Налаштуйте Google Advanced Protection за допомогою ключів безпеки.
Для організацій з Google Workspace:
- Перевірте Connected Apps в Google Workspace Admin Console.
- Увімкніть App Access Control (Security -> API Controls): обмежте OAuth-доступ сторонніх застосунків, дозволивши лише перевірені.
- Забороніть пересилання пошти для всієї організації або окремих Organizational Units.
- Налаштуйте Google Advanced Protection для high-risk членів організації.
Індикатори компрометації IOCs:
| gordorua[.]com | Домен-відправник |
| drive[.]sharedfilesid175[.]com | Домен-фільтр (hCaptcha для не-UA) |
| drive[.]sharedfilesid164[.]com | Фішингова сторінка (фейковий Google Drive) |
| sharedfilesid175[.]com | Базовий домен фішингу |
| sharedfilesid164[.]com | Базовий домен фішингу |
| sharedfilesid[.]com | Генератор OAuth URL |
| gordonua[.]onrender[.]com | Збір OAuth-токена (redirect_uri) |
| hxxps[://]gordonua[.]onrender[.]com/callback | OAuth redirect_uri – точка перехоплення токена |
| drive[.]sharedfilesid175[.]com/__verify | hCaptcha verify |
| drive[.]sharedfilesid164[.]com/__/auth/login | Фейкова auth-сторінка (імітує Firebase Auth) |
| 955469140772-na5hm93o628mkrtpr4tr70beniaas3gd.apps.googleusercontent.com | OAuth client_id зловмисника |
| e094650a-ad6a-4258-a780-8441c1b79765 | Microsoft 365 Tenant ID (gordorua[.]com) |
| MS=ms85551769 | Microsoft domain verification (gordorua[.]com) |
| google-site-verification=g4uJHVKRsz3YNsU1tqAZOjg9QgO3twmIFeQd3aJrikQ | Google Workspace verification (drive[.]sharedfilesid164[.]com) |
| 623c3cbe-7ac4-46e6-a446-d49ae21234d2 | hCaptcha sitekey |
| [email protected] | Відправник листа |












