Žvaigždžių pūgos grėsmės aktorius: nuolatinės kibernetinio šnipinėjimo pajėgos
Table of Contents
Kita vykdomos kibernetinės kampanijos taktika
Kibernetinių grėsmių aplinkai ir toliau tobulėjant, o diskusijose apie šnipinėjimo skatinamą kibernetinę veiklą dažnai pasirodo pavadinimas „Star Blizzard“. Šis grėsmės veikėjas, manoma, kad yra susijęs su Rusijos operacijomis, istoriškai daugiausia dėmesio skyrė įgaliojimų rinkimui. Tačiau pastaruoju metu jos metodai pasikeitė – kita kampanija skirta „WhatsApp“ paskyroms naudojant sudėtingus sukčiavimo būdus. Šis pritaikymas rodo pastangas išvengti slaptos informacijos aptikimo ir išlaikyti prieigą prie jos.
„Star Blizzard“ operacijų tikslai
Star Blizzard, anksčiau žinomas keliais slapyvardžiais, tokiais kaip SEABORGIUM ir BlueCharlie, veikia daugiau nei dešimtmetį. Pagrindiniai jos tikslai yra asmenys ir organizacijos, užsiimančios vyriausybe, diplomatija, gynybos politika ir tarptautiniais santykiais, ypač tie, kurie daugiausia dėmesio skiria Rusijos reikalams ir su Ukraina susijusioms pagalbos pastangoms. Mokslininkai, žurnalistai ir NVO taip pat paveikė jos veiklą.
Galutinis šios grupės tikslas yra įsiskverbti į ryšius, išgauti neskelbtinus duomenis ir įgyti strateginės žvalgybos. Pažeisdama kredencialus ir perimdama pokalbius, „Star Blizzard“ siekia išlaikyti nuolatinę prieigą prie savo taikinių, kad būtų galima toliau rinkti duomenis ir daryti galimas įtakos operacijas.
Kaip veikia grėsmės aktorius
Ankstesnės „Star Blizzard“ kampanijos daugiausia buvo susijusios su sukčiavimo el. laiškais, skirtais apgauti gavėjus, kad jie atskleistų prisijungimo duomenis. Paprastai šie el. laiškai gaunami iš paskyrų, registruotų saugiose el. pašto paslaugose, pvz., „ProtonMail“. Pranešimuose būtų nuorodų į apgaulingus puslapius, sukurtus naudojant priešininko (AiTM) taktiką, leidžiančius užpuolikams perimti prisijungimo duomenis ir dviejų veiksnių autentifikavimo (2FA) kodus.
Ankstesnėse atakose „Star Blizzard“ taip pat naudojo teisėtas el. pašto rinkodaros paslaugas, tokias kaip „HubSpot“ ir „MailerLite“, kad paslėptų siuntėjų tapatybes ir apeitų saugos filtrus. Šis metodas leido jiems pateikti apgaulingus pranešimus nepasikliaujant domenais, tiesiogiai susijusiais su operacija.
Didelis šių pastangų sutrikimas įvyko, kai „Microsoft“ ir JAV teisingumo departamentas ėmėsi veiksmų, kad užgrobtų daugiau nei 180 domenų, susijusių su grėsmės veikėju. Šie domenai nuo 2023 m. sausio mėn. iki 2024 m. rugpjūčio mėn. buvo naudojami atakoms prieš aukšto lygio taikinius palengvinti. Tačiau šis sutrikimas nereiškia, kad „Star Blizzard“ veikla nesibaigė; Vietoj to, tai paskatino grupę patobulinti savo taktiką.
Perėjimas prie „WhatsApp“ išnaudojimo
2024 m. pabaigoje ataskaitose buvo nurodyta, kad „Star Blizzard“ išplėtė savo metodus, įtraukdama „WhatsApp“ paskyros užgrobimą. Tai žymi reikšmingą nukrypimą nuo ankstesnių metodų ir pabrėžė grupės prisitaikymą.
Kampanija prasidėjo nuo sukčiavimo el. laiškų, kurie buvo pridengti JAV vyriausybės pareigūnų pranešimais. Šiuose el. laiškuose buvo QR kodai, kuriuose teigiama, kad gavėjai kviečiami į WhatsApp grupę, skirtą humanitarinėms iniciatyvoms remti. QR kodai buvo tyčia sulaužyti, todėl gavėjai kreipėsi pagalbos į el. laišką.
Kai gavėjas atsakė, jis gavo antrinį pranešimą, nukreipiantį juos į sutrumpintą nuorodą. Spustelėję šią nuorodą jie nukreipė į tinklalapį, kuriame buvo rodomas QR kodas, skirtas WhatsApp paskyroms prijungti prie papildomų įrenginių. Nuskaitydamos šį kodą aukos nesąmoningai suteikė Star Blizzard neteisėtą prieigą prie savo WhatsApp paskyrų, todėl galėjo atskleisti asmeninius pokalbius ir neskelbtiną informaciją.
„Star Blizzard“ veiklos pasekmės
Besivystanti „Star Blizzard“ taktika pabrėžia nuolatinę kibernetinio šnipinėjimo grupių keliamą grėsmę. Taikymasis į vyriausybę ir diplomatinius subjektus rodo nuolatines pastangas rinkti žvalgybos informaciją, kuri galėtų būti panaudota geopolitiniams tikslams. Be to, WhatsApp naudojimas kaip atakos vektorius kelia susirūpinimą dėl profesionalų ir organizacijų plačiai naudojamų komunikacijos platformų saugumo.
Nors atrodė, kad ši konkreti kampanija baigsis 2024 m. lapkričio mėn. pabaigoje, strategijos pokytis rodo grupės gebėjimą prisitaikyti. Galimybė pereiti prie naujų metodų, kai sutrinka esamos operacijos, užtikrina, kad „Star Blizzard“ išliks didžiulė kibernetinė grėsmė.
Apsaugos nuo tikslinių išpuolių stiprinimas
Tiems, kurie dirba sektoriuose, į kuriuos dažnai taikosi „Star Blizzard“, patariama išlikti budriems. Atpažinus sukčiavimo el. laiškų požymius, tikrinant netikėtus ryšius ir vengiant sąveikos su nepageidaujamais QR kodais ar sutrumpintomis nuorodomis, galima sumažinti tokių grėsmių riziką.
Saugos specialistai taip pat rekomenduoja, jei įmanoma, įgalinti daugiasluoksnį autentifikavimą, ypač paskyroms, kuriose tvarkomi jautrūs pranešimai. Kai grėsmės subjektai tobulina savo metodus, aktyvios priemonės išlieka būtinos siekiant apsaugoti skaitmeninį turtą ir ryšius nuo neteisėtos prieigos.
Paskutinės mintys
„Star Blizzard“ nuolatinė veikla primena mums apie besikeičiantį kibernetinių grėsmių pobūdį. Grupės gebėjimas pakeisti taktiką reaguojant į trikdžius pabrėžia nuolatinio budrumo ir prisitaikančių saugumo strategijų svarbą. Nors teisėsaugos ir kibernetinio saugumo įmonės stengiasi sumažinti tokias grėsmes, organizacijos ir asmenys turi išlikti iniciatyvūs nustatydami sudėtingas kibernetinio šnipinėjimo kampanijas ir jas atremdami.
