Ator de ameaça Star Blizzard: uma força persistente de espionagem cibernética

Outra tática em uma campanha cibernética em andamento

À medida que o cenário de ameaças cibernéticas continua a evoluir, um nome que frequentemente aparece em discussões sobre atividades cibernéticas motivadas por espionagem é Star Blizzard. Esse ator de ameaças, que se acredita estar ligado a operações russas, historicamente se concentrou na coleta de credenciais. Recentemente, no entanto, houve uma mudança em seus métodos, com outra campanha mirando contas do WhatsApp por meio de técnicas sofisticadas de spear-phishing. Essa adaptação sugere um esforço para evitar a detecção e manter o acesso a informações confidenciais.

Os objetivos por trás das operações da Star Blizzard

A Star Blizzard, anteriormente conhecida por vários pseudônimos como SEABORGIUM e BlueCharlie, está ativa há mais de uma década. Seus alvos principais são indivíduos e organizações envolvidas em governo, diplomacia, política de defesa e relações internacionais, particularmente aquelas focadas em assuntos russos e esforços de assistência relacionados à Ucrânia. Pesquisadores, jornalistas e ONGs também estão entre os afetados por suas atividades.

O objetivo final deste grupo é infiltrar comunicações, extrair dados sensíveis e obter inteligência estratégica. Ao comprometer credenciais e interceptar conversas, a Star Blizzard visa manter acesso persistente aos seus alvos, permitindo mais coleta de dados e potenciais operações de influência.

Como o Threat Actor opera

As campanhas anteriores da Star Blizzard giravam em torno de e-mails de spear-phishing projetados para enganar os destinatários e fazê-los revelar credenciais de login. Normalmente, esses e-mails vinham de contas registradas em serviços de e-mail seguros como o ProtonMail. As mensagens incluíam links que levavam a páginas enganosas criadas usando táticas de adversário no meio (AiTM), permitindo que os invasores interceptassem detalhes de login e códigos de autenticação de dois fatores (2FA).

Em ataques passados, a Star Blizzard também alavancou serviços legítimos de marketing por e-mail, como HubSpot e MailerLite, para mascarar identidades de remetentes e contornar filtros de segurança. Essa abordagem permitiu que eles entregassem mensagens enganosas sem depender de domínios diretamente vinculados à operação.

Uma grande interrupção desses esforços ocorreu quando a Microsoft e o Departamento de Justiça dos EUA tomaram medidas para apreender mais de 180 domínios associados ao agente de ameaças. Esses domínios foram usados para facilitar ataques contra alvos de alto perfil de janeiro de 2023 a agosto de 2024. No entanto, essa interrupção não marcou o fim das atividades da Star Blizzard; em vez disso, levou o grupo a refinar suas táticas.

A mudança para a exploração do WhatsApp

No final de 2024, relatórios indicaram que a Star Blizzard havia expandido suas técnicas para incluir o sequestro de contas do WhatsApp. Isso marcou um afastamento significativo de seus métodos anteriores e ressaltou a adaptabilidade do grupo.

A campanha começou com e-mails de phishing disfarçados de comunicações de autoridades do governo dos EUA. Esses e-mails continham códigos QR alegando convidar os destinatários para um grupo do WhatsApp dedicado a apoiar iniciativas humanitárias. Os códigos QR foram deliberadamente quebrados, levando os destinatários a responder ao e-mail para obter assistência.

Depois que o destinatário respondeu, ele recebeu uma mensagem secundária direcionando-o para um link encurtado. Clicar neste link o levou a uma página da web que exibia um código QR projetado para conectar contas do WhatsApp a dispositivos adicionais. Ao escanear este código, as vítimas, sem saber, concederam à Star Blizzard acesso não autorizado às suas contas do WhatsApp, potencialmente expondo conversas privadas e informações confidenciais.

As implicações das atividades da Star Blizzard

As táticas em evolução da Star Blizzard destacam a ameaça persistente representada por grupos de espionagem cibernética. O direcionamento de entidades governamentais e diplomáticas indica um esforço contínuo para reunir inteligência que poderia ser alavancada para propósitos geopolíticos. Além disso, o uso do WhatsApp como um vetor de ataque levanta preocupações sobre a segurança de plataformas de comunicação amplamente utilizadas por profissionais e organizações.

Embora essa campanha em particular parecesse terminar no final de novembro de 2024, a mudança na estratégia demonstra a adaptabilidade do grupo. A capacidade de mudar para novos métodos quando as operações existentes são interrompidas garante que a Star Blizzard continue sendo uma ameaça cibernética formidável.

Fortalecendo as defesas contra ataques direcionados

Aqueles que operam em setores frequentemente visados pela Star Blizzard são aconselhados a permanecerem vigilantes. Reconhecer as marcas registradas de e-mails de spear-phishing, verificar comunicações inesperadas e evitar interações com códigos QR não solicitados ou links encurtados pode ajudar a reduzir a exposição a tais ameaças.

Profissionais de segurança também recomendam habilitar autenticação multicamadas sempre que possível, particularmente para contas que lidam com comunicações sensíveis. À medida que os agentes de ameaças refinam suas técnicas, medidas proativas continuam essenciais para proteger ativos digitais e comunicações de acesso não autorizado.

Considerações finais

As atividades contínuas da Star Blizzard nos lembram da natureza evolutiva das ameaças cibernéticas. A capacidade do grupo de mudar de tática em resposta a interrupções enfatiza a importância da vigilância contínua e das estratégias de segurança adaptáveis. Enquanto as empresas de segurança cibernética e de aplicação da lei trabalham para mitigar tais ameaças, as organizações e os indivíduos devem permanecer proativos na identificação e no combate a campanhas sofisticadas de espionagem cibernética.