Star Blizzard Threat Actor
שחקן איומי הסייבר הרוסי המכונה Star Blizzard נקשר לקמפיין דיוג חנית חדש המכוון לחשבונות הוואטסאפ של הקורבנות. זה מסמן שינוי מהטקטיקות הרגילות שלה, שכנראה מכוונות להתחמק מגילוי ולשמור על פעולותיה תחת ביקורת מוגברת.
תוכן העניינים
יעדים בעלי פרופיל גבוה בממשל ובדיפלומטיה
Star Blizzard מתמקדת בעיקר באנשים הקשורים לממשל ולדיפלומטיה, כולל פקידים בהווה ובעבר. זה גם מכוון לחוקרים המתמחים במדיניות הגנה וביחסים בינלאומיים, במיוחד אלה שעבודתם מעורבת ברוסיה. קבוצת מפתח נוספת על הכוונת שלה מורכבת מיחידים וארגונים המסייעים לאוקראינה בסכסוך המתמשך עם רוסיה.
סופת השלגים הידועה לשמצה של הכוכבים: איום מתמשך
ל-Star Blizzard, שנקרא בעבר SEABORGIUM, יש היסטוריה ארוכה של פעילויות סייבר החל משנת 2012 לפחות. היא פועלת תחת כינויים רבים, כולל Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 ו-UNC4057. קבוצה זו ידועה לשמצה בזכות מסעות הפרסום שלה לאיסוף אישורים, המבוצעים בדרך כלל באמצעות מיילים דיוג חנית שנועדו לגנוב אישורי כניסה רגישים.
היסטוריה של טקטיקות הטעיה
Star Blizzard השתמשה באופן מסורתי בדוא"ל דיוג שנשלח מחשבונות ProtonMail, תוך הטמעת קישורים זדוניים במסמכים כדי לפתות קורבנות לספק אישורים. התקפות אלה משתמשות לעתים קרובות בדפים המופעלים על ידי Evilginx כדי לעקוף את אמצעי האבטחה של אימות דו-גורמי (2FA) באמצעות טכניקת יריב-באמצע (AiTM). הקבוצה גם מינפה פלטפורמות שיווק בדוא"ל כמו HubSpot ו-MailerLite כדי לטשטש את פרטי השולח ולעקוף מסנני אבטחה.
שיבושים והתאמות
המאמצים לבלום את פעילותה של סטאר בליזארד זכו לתחזוקה בסוף השנה שעברה, כאשר מיקרוסופט ומשרד המשפטים האמריקאי (DoJ) תפסו למעלה מ-180 דומיינים הקשורים לקבוצה. תחומים אלה שימשו באופן פעיל למיקוד עיתונאים, צוותי חשיבה וארגונים לא ממשלתיים בין ינואר 2023 לאוגוסט 2024. ייתכן שהחשיפה הציבורית המוגברת של פעולות אלו אילצה את הקבוצה להתאים את הטקטיקה שלה, מה שהוביל לקמפיין האחרון הממוקד ב-WhatsApp.
נחשפה תוכנית הדיוג של WhatsApp
הקמפיין האחרון מתחיל באימייל דיוג בחנית המתחזה להודעה מפקיד ממשלת ארה"ב. גישה מטעה זו מוסיפה אמינות ומגבירה את הסבירות למעורבות מהמטרה. האימייל מכיל קוד QR, המזמין לכאורה את הנמענים להצטרף לקבוצת WhatsApp המוקדשת לתמיכה בארגונים לא ממשלתיים אוקראינה. עם זאת, הקוד נשבר בכוונה, מה שמניע את הקורבן להגיב.
הונאה רב-שלבית
לאחר קבלת תשובה, Star Blizzard שולח מייל המשך בו מתנצל על הבעיה ומספק קישור מקוצר לקבוצת WhatsApp. לחיצה על הקישור מפנה את היעד לדף אינטרנט המורה להם לסרוק קוד QR אחר. עם זאת, במקום להעניק גישה לקבוצה לגיטימית, קוד QR זה הוא מלכודת שנועדה לנצל את תכונת קישור החשבונות של WhatsApp, ומעניקה לתוקפים גישה בלתי מורשית להודעות ונתונים.
ניצול התכונות של WhatsApp
קורבנות שעוקבים אחר ההוראות באתר המטעה ('aerofluidthermo.org') מאפשרים ללא ידיעתו של Star Blizzard לחדור לחשבונות הוואטסאפ שלהם. שיטה זו מאפשרת לתוקפים לסנן הודעות ונתונים רגישים אחרים, אולי באמצעות הרחבות דפדפן.
אמצעי זהירות לאנשים בסיכון
אלה העובדים בממשל, דיפלומטיה, מדיניות הגנה או יחסים בינלאומיים - במיוחד אלה עם קשרים עם אוקראינה - צריכים להישאר ערניים בעת טיפול במיילים המכילים קישורים למקורות חיצוניים. אימות האותנטיות של הודעות בלתי צפויות לפני לחיצה על קישורים או סריקת קודי QR חיוני כדי למנוע פשרה.
איום סייבר מתמשך ומתפתח
הקמפיין האחרון הזה מדגיש את יכולת ההסתגלות והנחישות של Star Blizzard להמשיך בפעולות דיוג חנית למרות כשלונות חוזרים ונשנים. על ידי מעבר ל-WhatsApp פישינג, הקבוצה מדגימה את יכולתה לפתח טקטיקות, תוך שימת דגש על הצורך המתמשך במודעות לאבטחת סייבר ובאמצעי הגנה בקרב אנשים וארגונים ממוקדים.
