Звездный Blizzard Threat Actor: Постоянная сила кибершпионажа
Table of Contents
Еще одна тактика в продолжающейся киберкампании
Поскольку ландшафт киберугроз продолжает развиваться, и одно имя, которое часто появляется в обсуждениях киберактивности, связанной со шпионажем, — Star Blizzard. Этот субъект угроз, который, как полагают, связан с российскими операциями, исторически фокусировался на сборе учетных данных. Однако в последнее время произошел сдвиг в его методах, и другая кампания была нацелена на учетные записи WhatsApp с помощью сложных методов целевого фишинга. Эта адаптация предполагает попытку избежать обнаружения и сохранить доступ к конфиденциальной информации.
Цели, лежащие в основе деятельности Star Blizzard
Star Blizzard, ранее известная под несколькими псевдонимами, такими как SEABORGIUM и BlueCharlie, действует уже более десяти лет. Ее основными целями являются лица и организации, занимающиеся правительством, дипломатией, оборонной политикой и международными отношениями, в частности те, которые сосредоточены на российских делах и усилиях по оказанию помощи Украине. Исследователи, журналисты и НПО также оказались среди тех, кого затронула ее деятельность.
Конечная цель этой группы — проникнуть в коммуникации, извлечь конфиденциальные данные и получить стратегические разведданные. Компрометируя учетные данные и перехватывая разговоры, Star Blizzard стремится сохранить постоянный доступ к своим целям, что позволяет проводить дальнейший сбор данных и потенциальные операции по оказанию влияния.
Как действует субъект угрозы
Ранние кампании Star Blizzard в основном вращались вокруг фишинговых писем, предназначенных для обмана получателей с целью раскрытия учетных данных для входа. Обычно эти письма приходили с учетных записей, зарегистрированных на защищенных почтовых сервисах, таких как ProtonMail. Сообщения включали ссылки, ведущие на обманные страницы, созданные с использованием тактики злоумышленника посередине (AiTM), что позволяло злоумышленникам перехватывать данные для входа и коды двухфакторной аутентификации (2FA).
В прошлых атаках Star Blizzard также использовала законные сервисы email-маркетинга, такие как HubSpot и MailerLite, чтобы скрыть личность отправителя и обойти фильтры безопасности. Такой подход позволил им доставлять обманчивые сообщения, не полагаясь на домены, напрямую связанные с операцией.
Серьезным сбоем в этих усилиях стало то, что Microsoft и Министерство юстиции США предприняли действия по изъятию более 180 доменов, связанных с субъектом угроз. Эти домены использовались для содействия атакам на высокопоставленные цели с января 2023 года по август 2024 года. Однако это нарушение не положило конец деятельности Star Blizzard; вместо этого оно побудило группу усовершенствовать свою тактику.
Переход к эксплуатации WhatsApp
В конце 2024 года появились сообщения о том, что Star Blizzard расширила свои методы, включив в них захват аккаунтов WhatsApp. Это стало существенным отходом от предыдущих методов и подчеркнуло адаптивность группы.
Кампания началась с фишинговых писем, маскирующихся под сообщения от официальных лиц правительства США. Эти письма содержали QR-коды, якобы приглашающие получателей в группу WhatsApp, посвященную поддержке гуманитарных инициатив. QR-коды были намеренно взломаны, что побуждало получателей отвечать на письмо с просьбой о помощи.
После того, как получатель ответил, он получил вторичное сообщение, направляющее его на сокращенную ссылку. Щелчок по этой ссылке привел его на веб-страницу, на которой отображался QR-код, предназначенный для подключения учетных записей WhatsApp к дополнительным устройствам. Сканируя этот код, жертвы неосознанно предоставили Star Blizzard несанкционированный доступ к своим учетным записям WhatsApp, потенциально раскрывая личные разговоры и конфиденциальную информацию.
Последствия деятельности Star Blizzard
Развивающаяся тактика Star Blizzard подчеркивает постоянную угрозу, исходящую от групп кибершпионажа. Нацеливание на правительственные и дипломатические учреждения указывает на продолжающиеся усилия по сбору разведданных, которые могут быть использованы в геополитических целях. Кроме того, использование WhatsApp в качестве вектора атаки вызывает опасения по поводу безопасности коммуникационных платформ, широко используемых профессионалами и организациями.
Хотя эта конкретная кампания, по-видимому, должна была завершиться к концу ноября 2024 года, изменение стратегии демонстрирует адаптивность группы. Способность переходить на новые методы, когда существующие операции нарушаются, гарантирует, что Star Blizzard останется грозной киберугрозой.
Усиление защиты от целенаправленных атак
Тем, кто работает в секторах, часто подвергающихся атакам Star Blizzard, рекомендуется сохранять бдительность. Распознавание отличительных признаков фишинговых писем, проверка неожиданных сообщений и избегание взаимодействия с незапрошенными QR-кодами или сокращенными ссылками может помочь снизить подверженность таким угрозам.
Специалисты по безопасности также рекомендуют включать многоуровневую аутентификацию, где это возможно, особенно для учетных записей, обрабатывающих конфиденциальные сообщения. Поскольку субъекты угроз совершенствуют свои методы, проактивные меры остаются важными для защиты цифровых активов и сообщений от несанкционированного доступа.
Заключительные мысли
Текущая деятельность Star Blizzard напоминает нам об эволюционирующей природе киберугроз. Способность группы менять тактику в ответ на сбои подчеркивает важность постоянной бдительности и адаптивных стратегий безопасности. В то время как правоохранительные органы и фирмы по кибербезопасности работают над смягчением таких угроз, организации и отдельные лица должны оставаться активными в выявлении и противодействии сложным кампаниям кибершпионажа.
