Ηθοποιός του Star Blizzard Threat
Ο Ρώσος ηθοποιός κυβερνοαπειλής γνωστός ως Star Blizzard έχει συνδεθεί με μια νέα εκστρατεία spear-phishing που στοχεύει τους λογαριασμούς των θυμάτων στο WhatsApp. Αυτό σηματοδοτεί μια μετατόπιση από τις συνήθεις τακτικές της, που πιθανότατα στοχεύουν στην αποφυγή του εντοπισμού και στη διατήρηση των δραστηριοτήτων της υπό αυξημένο έλεγχο.
Πίνακας περιεχομένων
Στόχοι υψηλού προφίλ στην κυβέρνηση και τη διπλωματία
Το Star Blizzard στοχεύει κυρίως άτομα που συνδέονται με την κυβέρνηση και τη διπλωματία, συμπεριλαμβανομένων νυν και πρώην αξιωματούχων. Στοχεύει επίσης ερευνητές που ειδικεύονται στην αμυντική πολιτική και τις διεθνείς σχέσεις, ιδιαίτερα σε αυτούς των οποίων το έργο αφορά τη Ρωσία. Μια άλλη βασική ομάδα στο στόχαστρο της αποτελείται από άτομα και οργανώσεις που βοηθούν την Ουκρανία στη συνεχιζόμενη σύγκρουση με τη Ρωσία.
The Infamous Star Blizzard: A Persistent Threat
Παλαιότερα γνωστό ως SEABORGIUM, το Star Blizzard έχει μακρά ιστορία διαδικτυακών δραστηριοτήτων που χρονολογείται τουλάχιστον από το 2012. Λειτουργεί με πολλά ψευδώνυμα, όπως Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 και UNC4057. Αυτή η ομάδα είναι διαβόητη για τις καμπάνιες συλλογής διαπιστευτηρίων της, οι οποίες συνήθως εκτελούνται μέσω emails spear-phishing που έχουν σχεδιαστεί για την κλοπή ευαίσθητων διαπιστευτηρίων σύνδεσης.
Μια ιστορία παραπλανητικών τακτικών
Η Star Blizzard χρησιμοποιεί παραδοσιακά μηνύματα ηλεκτρονικού "ψαρέματος" που αποστέλλονται από λογαριασμούς ProtonMail, ενσωματώνοντας κακόβουλους συνδέσμους σε έγγραφα για να παρασύρει τα θύματα στην παροχή διαπιστευτηρίων. Αυτές οι επιθέσεις συχνά χρησιμοποιούν σελίδες που τροφοδοτούνται από το Evilginx για να παρακάμψουν τα μέτρα ασφαλείας του ελέγχου ταυτότητας δύο παραγόντων (2FA) μέσω μιας τεχνικής Adversary-in-The-Middle (AiTM). Η ομάδα έχει επίσης αξιοποιήσει πλατφόρμες μάρκετινγκ ηλεκτρονικού ταχυδρομείου όπως το HubSpot και το MailerLite για να αποκρύψει τα στοιχεία του αποστολέα και να παρακάμψει τα φίλτρα ασφαλείας.
Διαταραχές και προσαρμογές
Οι προσπάθειες για τον περιορισμό των δραστηριοτήτων της Star Blizzard κέρδισαν έλξη στα τέλη του περασμένου έτους, όταν η Microsoft και το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) κατέσχεσαν πάνω από 180 τομείς που συνδέονται με τον όμιλο. Αυτοί οι τομείς είχαν χρησιμοποιηθεί ενεργά για τη στόχευση δημοσιογράφων, δεξαμενών σκέψης και ΜΚΟ μεταξύ Ιανουαρίου 2023 και Αυγούστου 2024. Η αυξημένη δημόσια έκθεση αυτών των επιχειρήσεων μπορεί να ανάγκασε την ομάδα να προσαρμόσει τις τακτικές της, οδηγώντας στην πρόσφατη καμπάνια που επικεντρώθηκε στο WhatsApp.
Αποκαλύφθηκε το πρόγραμμα ψαρέματος WhatsApp
Η πιο πρόσφατη εκστρατεία ξεκινά με ένα email-phishing που μεταμφιέζεται ως μήνυμα από έναν κυβερνητικό αξιωματούχο των ΗΠΑ. Αυτή η παραπλανητική προσέγγιση προσθέτει αξιοπιστία και αυξάνει την πιθανότητα εμπλοκής από τον στόχο. Το email περιέχει έναν κωδικό QR, ο οποίος φέρεται να προσκαλεί τους παραλήπτες να συμμετάσχουν σε μια ομάδα WhatsApp που είναι αφιερωμένη στην υποστήριξη Ουκρανικών ΜΚΟ. Ωστόσο, ο κωδικός έχει σπάσει εσκεμμένα, με αποτέλεσμα το θύμα να απαντήσει.
Μια απάτη σε πολλά βήματα
Μόλις λάβει μια απάντηση, το Star Blizzard στέλνει ένα επακόλουθο email ζητώντας συγγνώμη για το πρόβλημα και παρέχοντας έναν συντομευμένο σύνδεσμο στην ομάδα WhatsApp. Κάνοντας κλικ στη σύνδεση ανακατευθύνει τον στόχο σε μια ιστοσελίδα που τους δίνει οδηγίες να σαρώσουν έναν άλλο κώδικα QR. Ωστόσο, αντί να παραχωρεί πρόσβαση σε μια νόμιμη ομάδα, αυτός ο κωδικός QR είναι μια παγίδα που έχει σχεδιαστεί για να εκμεταλλευτεί τη δυνατότητα σύνδεσης λογαριασμών του WhatsApp, παρέχοντας στους εισβολείς μη εξουσιοδοτημένη πρόσβαση σε μηνύματα και δεδομένα.
Εκμετάλλευση των δυνατοτήτων του WhatsApp
Τα θύματα που ακολουθούν τις οδηγίες στον παραπλανητικό ιστότοπο («aerofluidthermo.org») επιτρέπουν εν αγνοία τους στο Star Blizzard να διεισδύσει στους λογαριασμούς τους στο WhatsApp. Αυτή η μέθοδος δίνει τη δυνατότητα στους εισβολείς να εκμεταλλεύονται μηνύματα και άλλα ευαίσθητα δεδομένα, ενδεχομένως μέσω επεκτάσεων προγράμματος περιήγησης.
Προληπτικά μέτρα για άτομα σε κίνδυνο
Όσοι εργάζονται στην κυβέρνηση, τη διπλωματία, την αμυντική πολιτική ή τις διεθνείς σχέσεις —ιδίως όσοι έχουν δεσμούς με την Ουκρανία— θα πρέπει να παραμείνουν σε επαγρύπνηση όταν χειρίζονται μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν συνδέσμους προς εξωτερικές πηγές. Η επαλήθευση της αυθεντικότητας των μη αναμενόμενων μηνυμάτων πριν κάνετε κλικ σε συνδέσμους ή σάρωση κωδικών QR είναι ζωτικής σημασίας για την αποφυγή συμβιβασμού.
Μια επίμονη και εξελισσόμενη απειλή στον κυβερνοχώρο
Αυτή η τελευταία καμπάνια υπογραμμίζει την προσαρμοστικότητα και την αποφασιστικότητα της Star Blizzard να συνεχίσει τις λειτουργίες spear-phishing παρά τις επανειλημμένες αποτυχίες. Μεταβαίνοντας στο WhatsApp phishing, η ομάδα επιδεικνύει την ικανότητά της να εξελίσσει τακτικές, υπογραμμίζοντας τη συνεχιζόμενη ανάγκη για ευαισθητοποίηση στον κυβερνοχώρο και μέτρα προστασίας μεταξύ στοχευμένων ατόμων και οργανισμών.
