Aktor Zagrożenia Gwiazd Blizzard: Stała Siła Cybernetycznego Szpiegostwa

Kolejna taktyka w trwającej kampanii cybernetycznej

Ponieważ krajobraz cyberzagrożeń nadal ewoluuje, a jedną z nazw, która często pojawia się w dyskusjach na temat cyberaktywności opartej na szpiegostwie, jest Star Blizzard. Ten aktor zagrożeń, o którym uważa się, że jest powiązany z operacjami rosyjskimi, historycznie koncentrował się na zbieraniu danych uwierzytelniających. Ostatnio jednak nastąpiła zmiana w jego metodach, a kolejna kampania atakuje konta WhatsApp za pomocą wyrafinowanych technik spear-phishingu. Ta adaptacja sugeruje wysiłek w celu uniknięcia wykrycia i utrzymania dostępu do poufnych informacji.

Cele stojące za działalnością Star Blizzard

Star Blizzard, wcześniej znany pod wieloma pseudonimami, takimi jak SEABORGIUM i BlueCharlie, działa od ponad dekady. Jego głównymi celami są osoby i organizacje zaangażowane w rząd, dyplomację, politykę obronną i stosunki międzynarodowe, w szczególności te skupiające się na sprawach rosyjskich i działaniach pomocowych związanych z Ukrainą. Badacze, dziennikarze i organizacje pozarządowe również są wśród osób dotkniętych jego działalnością.

Ostatecznym celem tej grupy jest infiltracja komunikacji, wydobywanie poufnych danych i zdobywanie strategicznych informacji wywiadowczych. Poprzez naruszanie poświadczeń i przechwytywanie rozmów Star Blizzard zamierza utrzymać stały dostęp do swoich celów, umożliwiając dalsze zbieranie danych i potencjalne operacje wpływu.

Jak działa podmiot stanowiący zagrożenie

Wcześniejsze kampanie Star Blizzard w dużej mierze opierały się na e-mailach typu spear-phishing, których celem było nakłonienie odbiorców do ujawnienia danych logowania. Zazwyczaj te e-maile pochodziły z kont zarejestrowanych w bezpiecznych usługach e-mail, takich jak ProtonMail. Wiadomości zawierały linki prowadzące do oszukańczych stron utworzonych przy użyciu taktyki adversary-in-the-middle (AiTM), umożliwiając atakującym przechwycenie danych logowania i kodów uwierzytelniania dwuskładnikowego (2FA).

W poprzednich atakach Star Blizzard wykorzystywał również legalne usługi marketingu e-mailowego, takie jak HubSpot i MailerLite, aby maskować tożsamości nadawców i omijać filtry bezpieczeństwa. To podejście umożliwiało im dostarczanie oszukańczych wiadomości bez polegania na domenach bezpośrednio powiązanych z operacją.

Poważne zakłócenie tych wysiłków nastąpiło, gdy Microsoft i Departament Sprawiedliwości USA podjęły działania mające na celu przejęcie ponad 180 domen powiązanych z aktorem zagrożenia. Domeny te były wykorzystywane do ułatwiania ataków na znane cele od stycznia 2023 r. do sierpnia 2024 r. Jednak to zakłócenie nie oznaczało końca działalności Star Blizzard; zamiast tego skłoniło grupę do udoskonalenia swojej taktyki.

Zmiana na wykorzystanie WhatsApp

Pod koniec 2024 r. raporty wskazywały, że Star Blizzard rozszerzył swoje techniki o przejmowanie kont WhatsApp. Oznaczało to znaczące odejście od poprzednich metod i podkreślało zdolność adaptacji grupy.

Kampania rozpoczęła się od wiadomości phishingowych podszywających się pod komunikaty od urzędników rządowych USA. Wiadomości te zawierały kody QR, które rzekomo zapraszały odbiorców do grupy WhatsApp poświęconej wspieraniu inicjatyw humanitarnych. Kody QR zostały celowo złamane, co skłoniło odbiorców do odpowiedzi na wiadomość e-mail z prośbą o pomoc.

Gdy odbiorca odpowiedział, otrzymał wiadomość drugorzędną kierującą do skróconego linku. Kliknięcie tego linku przekierowało go na stronę internetową, która wyświetlała kod QR zaprojektowany do łączenia kont WhatsApp z dodatkowymi urządzeniami. Skanując ten kod, ofiary nieświadomie udzieliły Star Blizzard nieautoryzowanego dostępu do swoich kont WhatsApp, potencjalnie ujawniając prywatne rozmowy i poufne informacje.

Konsekwencje działań Star Blizzard

Rozwijająca się taktyka Star Blizzard podkreśla stałe zagrożenie ze strony grup cybernetycznego szpiegostwa. Ataki na rząd i podmioty dyplomatyczne wskazują na trwające wysiłki w celu zebrania informacji wywiadowczych, które mogłyby zostać wykorzystane do celów geopolitycznych. Ponadto wykorzystanie WhatsApp jako wektora ataku budzi obawy o bezpieczeństwo platform komunikacyjnych powszechnie używanych przez profesjonalistów i organizacje.

Chociaż ta konkretna kampania wydawała się zakończyć się pod koniec listopada 2024 r., zmiana strategii pokazuje zdolność grupy do adaptacji. Zdolność do przejścia na nowe metody, gdy istniejące operacje są zakłócane, sprawia, że Star Blizzard pozostaje groźnym cyberzagrożeniem.

Wzmocnienie obrony przed atakami ukierunkowanymi

Osoby działające w sektorach często atakowanych przez Star Blizzard powinny zachować czujność. Rozpoznawanie cech charakterystycznych wiadomości e-mail typu spear-phishing, weryfikacja nieoczekiwanych komunikatów i unikanie interakcji z niechcianymi kodami QR lub skróconymi linkami może pomóc zmniejszyć narażenie na takie zagrożenia.

Specjaliści ds. bezpieczeństwa zalecają również włączenie uwierzytelniania wielowarstwowego, jeśli to możliwe, szczególnie w przypadku kont obsługujących poufne komunikaty. W miarę jak aktorzy zagrożeń udoskonalają swoje techniki, środki proaktywne pozostają niezbędne w celu ochrony zasobów cyfrowych i komunikacji przed nieautoryzowanym dostępem.

Ostatnie przemyślenia

Ciągłe działania Star Blizzard przypominają nam o ewoluującej naturze cyberzagrożeń. Zdolność grupy do zmiany taktyki w odpowiedzi na zakłócenia podkreśla znaczenie ciągłej czujności i adaptacyjnych strategii bezpieczeństwa. Podczas gdy organy ścigania i firmy zajmujące się cyberbezpieczeństwem pracują nad łagodzeniem takich zagrożeń, organizacje i osoby muszą zachować proaktywność w identyfikowaniu i przeciwdziałaniu wyrafinowanym kampaniom cybernetycznego szpiegostwa.