Star Blizzard Threat Actor: A Persistent Cyber Spionage Force

Újabb taktika egy folyamatban lévő kiberkampányban

Ahogy a kiberfenyegetettség köre folyamatosan fejlődik, és a kémkedés által vezérelt kibertevékenységről szóló vitákban gyakran felbukkanó név a Star Blizzard. Ez a fenyegető szereplő, amelyről úgy tartják, hogy az orosz hadműveletekhez köthető, történelmileg a hitelesítő adatok begyűjtésére összpontosított. A közelmúltban azonban elmozdulás történt a módszereiben, egy újabb kampány a WhatsApp-fiókokat célozta meg kifinomult adathalász technikákkal. Ez az adaptáció az érzékeny információk észlelésének elkerülésére és az azokhoz való hozzáférés fenntartására irányuló erőfeszítést sugall.

Célok a Star Blizzard műveletei mögött

A Star Blizzard, amelyet korábban több álnévvel is ismertek, mint például a SEABORGIUM és a BlueCharlie, több mint egy évtizede aktív. Elsődleges célpontjai a kormányzattal, a diplomáciával, a védelmi politikával és a nemzetközi kapcsolatokkal foglalkozó egyének és szervezetek, különös tekintettel az orosz ügyekre és az Ukrajnával kapcsolatos segítségnyújtási erőfeszítésekre. Kutatók, újságírók és civil szervezetek is érintettek a tevékenységében.

Ennek a csoportnak a végső célja a kommunikációba való beszivárgás, érzékeny adatok kinyerése és stratégiai intelligencia megszerzése. A hitelesítő adatok veszélyeztetésével és a beszélgetések lehallgatásával a Star Blizzard célja, hogy fenntartsa a célpontjaihoz való folyamatos hozzáférést, lehetővé téve a további adatgyűjtést és a lehetséges befolyásolási műveleteket.

Hogyan működik a fenyegető színész

A Star Blizzard korábbi kampányai nagyrészt az adathalász e-mailek körül forogtak, amelyek célja, hogy a címzetteket rávegyék a bejelentkezési adatok felfedésére. Ezek az e-mailek általában olyan biztonságos e-mail szolgáltatásokban regisztrált fiókokból származnak, mint a ProtonMail. Az üzenetek olyan linkeket tartalmaznának, amelyek megtévesztő oldalakra vezetnek, amelyek az AiTM (ellenfél-középben) taktikával készültek, és lehetővé teszik a támadók számára, hogy elfogják a bejelentkezési adatokat és a kéttényezős hitelesítési (2FA) kódokat.

A korábbi támadások során a Star Blizzard olyan legitim e-mail marketing szolgáltatásokat is igénybe vett, mint a HubSpot és a MailerLite, hogy elfedje a feladó identitását és megkerülje a biztonsági szűrőket. Ez a megközelítés lehetővé tette számukra, hogy megtévesztő üzeneteket küldjenek anélkül, hogy a művelethez közvetlenül kapcsolódó tartományokra támaszkodtak volna.

Ezekben az erőfeszítésekben jelentős fennakadást okozott, amikor a Microsoft és az Egyesült Államok Igazságügyi Minisztériuma intézkedett több mint 180, a fenyegetés szereplőjéhez kapcsolódó domain lefoglalására. Ezeket a tartományokat 2023 januárja és 2024 augusztusa között nagy horderejű célpontok elleni támadások elősegítésére használták. Ez a zavar azonban nem jelentette a Star Blizzard tevékenységének végét; ehelyett taktikai finomításra késztette a csoportot.

Az átállás a WhatsApp kizsákmányolásra

2024 végén a jelentések szerint a Star Blizzard kiterjesztette technikáit a WhatsApp-fiók eltérítésére is. Ez jelentős eltérést jelent a korábbi módszereitől, és aláhúzta a csoport alkalmazkodóképességét.

A kampány adathalász e-mailekkel kezdődött, amelyeket amerikai kormányzati tisztviselők kommunikációjának álcáztak. Ezek az e-mailek QR-kódokat tartalmaztak, amelyek azt állították, hogy meghívják a címzetteket a humanitárius kezdeményezések támogatásával foglalkozó WhatsApp-csoportba. A QR-kódokat szándékosan törték fel, ami arra késztette a címzetteket, hogy válaszoljanak az e-mailre segítségért.

Miután a címzett válaszolt, egy másodlagos üzenetet kapott, amely egy rövidített hivatkozásra irányította őket. Erre a linkre kattintva egy weboldalra jutottak, amely egy QR-kódot jelenített meg, amelyet a WhatsApp-fiókok további eszközökhöz való csatlakoztatására terveztek. A kód beolvasásával az áldozatok tudtukon kívül jogosulatlan hozzáférést biztosítottak a Star Blizzardnak WhatsApp-fiókjukhoz, amivel felfedték a privát beszélgetéseket és bizalmas információkat.

A Star Blizzard tevékenységének következményei

A Star Blizzard fejlődő taktikája rávilágít a kiberkémkedési csoportok által jelentett tartós fenyegetésre. A kormányzati és diplomáciai entitások célba vétele folyamatos erőfeszítéseket jelez a geopolitikai célokra felhasználható hírszerzési információk gyűjtésére. Ezenkívül a WhatsApp támadási vektorként való használata aggályokat vet fel a szakemberek és szervezetek által széles körben használt kommunikációs platformok biztonságával kapcsolatban.

Bár úgy tűnt, hogy ez a kampány 2024. november végére véget ér, a stratégiaváltás a csoport alkalmazkodóképességét mutatja. Az új módszerekre való átállás képessége, ha a meglévő műveletek megszakadnak, biztosítja, hogy a Star Blizzard továbbra is hatalmas kiberfenyegetés maradjon.

A védekezés erősítése a célzott támadásokkal szemben

A Star Blizzard által gyakran megcélzott szektorokban tevékenykedőknek azt tanácsoljuk, hogy maradjanak éberek. Az adathalász e-mailek jellemzőinek felismerése, a váratlan kommunikáció ellenőrzése, valamint a kéretlen QR-kódokkal vagy rövidített hivatkozásokkal való interakció elkerülése segíthet csökkenteni az ilyen fenyegetéseknek való kitettséget.

A biztonsági szakemberek azt is javasolják, hogy lehetőség szerint engedélyezzék a többrétegű hitelesítést, különösen az érzékeny kommunikációt kezelő fiókok esetében. Ahogy a fenyegetés szereplői finomítják technikáikat, a proaktív intézkedések továbbra is elengedhetetlenek a digitális eszközök és a kommunikáció illetéktelen hozzáféréstől való megóvására.

Végső gondolatok

A Star Blizzard folyamatos tevékenysége a kiberfenyegetések változó természetére emlékeztet bennünket. A csoport azon képessége, hogy a megszakításokra reagálva taktikát váltson, hangsúlyozza a folyamatos éberség és az alkalmazkodó biztonsági stratégiák fontosságát. Míg a bűnüldöző és kiberbiztonsági cégek az ilyen fenyegetések enyhítésén dolgoznak, a szervezeteknek és egyéneknek továbbra is proaktívnak kell maradniuk a kifinomult kiberkémkedési kampányok azonosításában és leküzdésében.