Igralec Star Blizzard Threat
Ruski igralec kibernetske grožnje, znan kot Star Blizzard, je bil povezan z novo kampanjo lažnega predstavljanja, ki cilja na račune WhatsApp žrtev. To pomeni premik od njegove običajne taktike, katere cilj je verjetno izogibanje odkrivanju in ohranjanje njegovih operacij pod večjim nadzorom.
Kazalo
Odmevne tarče v vladi in diplomaciji
Star Blizzard cilja predvsem na posameznike, povezane z vlado in diplomacijo, vključno s sedanjimi in nekdanjimi uradniki. Namenjen je tudi raziskovalcem, specializiranim za obrambno politiko in mednarodne odnose, zlasti tistim, katerih delo vključuje Rusijo. Druga ključna skupina v njegovem križišču je sestavljena iz posameznikov in organizacij, ki pomagajo Ukrajini v nenehnem konfliktu z Rusijo.
Zloglasni zvezdni metež: Stalna grožnja
Star Blizzard, prej znan kot SEABORGIUM, ima dolgo zgodovino kibernetskih dejavnosti, ki segajo vsaj v leto 2012. Deluje pod več vzdevki, vključno z Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier , TA446 in UNC4057. Ta skupina je razvpita po svojih kampanjah zbiranja poverilnic, ki se običajno izvajajo prek e-poštnih sporočil z lažnim predstavljanjem, namenjenih kraji občutljivih poverilnic za prijavo.
Zgodovina zavajajočih taktik
Star Blizzard tradicionalno uporablja e-poštna sporočila z lažnim predstavljanjem, poslana iz računov ProtonMail, in v dokumente vgrajuje zlonamerne povezave, da bi žrtve zvabila k posredovanju poverilnic. Ti napadi pogosto uporabljajo strani, ki jih poganja Evilginx, da zaobidejo varnostne ukrepe dvofaktorske avtentikacije (2FA) s tehniko nasprotnika v sredini (AiTM). Skupina je izkoristila tudi platforme za e-poštno trženje, kot sta HubSpot in MailerLite, da bi prikrila podatke o pošiljatelju in zaobšla varnostne filtre.
Motnje in prilagoditve
Prizadevanja za omejitev dejavnosti Star Blizzarda so se okrepila konec lanskega leta, ko sta Microsoft in Ministrstvo za pravosodje ZDA (DoJ) zasegla več kot 180 domen, povezanih s skupino. Te domene so bile med januarjem 2023 in avgustom 2024 aktivno uporabljene za ciljanje novinarjev, možganskih trustov in nevladnih organizacij. Večja javna izpostavljenost teh operacij je morda prisilila skupino, da prilagodi svojo taktiko, kar je vodilo do nedavne kampanje, osredotočene na WhatsApp.
Razkrita shema lažnega predstavljanja WhatsApp
Najnovejša kampanja se začne z e-poštnim sporočilom z lažnim predstavljanjem, ki se maskira kot sporočilo ameriškega vladnega uradnika. Ta zavajajoči pristop dodaja verodostojnost in povečuje verjetnost sodelovanja tarče. E-poštno sporočilo vsebuje kodo QR, ki domnevno vabi prejemnike, da se pridružijo skupini WhatsApp, namenjeni podpori ukrajinskih nevladnih organizacij. Vendar pa je koda namerno zlomljena, kar žrtev spodbudi k odzivu.
Prevara v več korakih
Po prejemu odgovora Star Blizzard pošlje nadaljnje e-poštno sporočilo, v katerem se opravičuje za težavo in zagotavlja zelo skrajšano povezavo do skupine WhatsApp. Klik na povezavo preusmeri tarčo na spletno stran z navodilom za skeniranje druge kode QR. Vendar pa je ta koda QR namesto odobritve dostopa zakoniti skupini past, namenjena izkoriščanju WhatsAppove funkcije povezovanja računov, ki napadalcem omogoča nepooblaščen dostop do sporočil in podatkov.
Izkoriščanje funkcij WhatsApp
Žrtve, ki sledijo navodilom na zavajajočem spletnem mestu ('aerofluidthermo.org'), nevede dovolijo Star Blizzardu infiltracijo v njihove račune WhatsApp. Ta metoda napadalcem omogoča, da izbrskajo sporočila in druge občutljive podatke, morda prek razširitev brskalnika.
Previdnostni ukrepi za ogrožene posameznike
Tisti, ki delajo v vladi, diplomaciji, obrambni politiki ali mednarodnih odnosih – zlasti tisti, ki so povezani z Ukrajino – bi morali ostati pozorni pri ravnanju z e-poštnimi sporočili, ki vsebujejo povezave do zunanjih virov. Preverjanje pristnosti nepričakovanih sporočil, preden kliknete povezave ali skenirate kode QR, je ključnega pomena za preprečevanje kompromisov.
Vztrajna in razvijajoča se kibernetska grožnja
Ta zadnja kampanja poudarja prilagodljivost in odločenost Star Blizzarda, da kljub ponavljajočim se neuspehom nadaljuje z lažnim predstavljanjem. S prehodom na lažno predstavljanje WhatsApp skupina dokazuje svojo sposobnost razvijanja taktike, s čimer poudarja stalno potrebo po ozaveščenosti o kibernetski varnosti in zaščitnih ukrepih med ciljnimi posamezniki in organizacijami.
