Οι Ρώσοι hackers Star Blizzard έχουν συνδεθεί με μια νέα καμπάνια spear-phishing που στοχεύει λογαριασμούς WhatsApp.

Η ομάδα Microsoft Threat Intelligence σχολίασε ότι οι στόχοι της Star Blizzard σχετίζονται συνήθως με την κυβέρνηση ή τη διπλωματία και με άτομα που ασχολούνται με την αμυντική πολιτική και τις διεθνείς σχέσεις. Επικεντρώνονται όμως σε κυβερνήσεις, οργανισμούς και άτομα που υποστηρίζουν την Ουκρανία στον πόλεμο με τη Ρωσία.
Οι hackers Star Blizzard συνδέονται με τη Ρωσία και είναι κυρίως γνωστοί για τις εκστρατείες συλλογής credentials. Είναι ενεργοί τουλάχιστον από το 2012 και παρακολουθούνται με πολλά ονόματα, συμπεριλαμβανομένων των Blue Callisto, BlueCharlie (ή TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 και UNC4057.
Προηγούμενες επιθέσεις περιελάμβαναν την αποστολή spear-phishing emails σε στόχους, συνήθως από έναν λογαριασμό Proton. Τα emails περιείχαν έγγραφα με ενσωματωμένους κακόβουλους συνδέσμους, που οδηγούσαν τους χρήστες σε μια σελίδα που έκλεβε credentials και κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) μέσω adversary-in-the-middle (AiTM) επίθεσης.
Δείτε επίσης: Ποιες νέες τεχνικές χρησιμοποιούν οι Ρώσοι hackers APT29;
Οι Ρώσοι hackers Star Blizzard έχουν, επίσης, συνδεθεί με τη χρήση email marketing πλατφορμών, όπως το HubSpot και το MailerLite για την απόκρυψη των πραγματικών διευθύνσεων αποστολέα και την αποφυγή της ανάγκης συμπερίληψης domain infrastructure (που ελέγχεται από τον εισβολέα) στα μηνύματα ηλεκτρονικού ταχυδρομείου.
Στα τέλη του περασμένου έτους, η Microsoft και το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ανακοίνωσαν την κατάσχεση περισσότερων από 180 domains που χρησιμοποιήθηκαν από τους συγκεκριμένους Ρώσους hackers για να στοχοποιήσουν δημοσιογράφους, think tanks και μη κυβερνητικές οργανώσεις (ΜΚΟ).
Μετά από αυτή την επιχείρηση κατά της υποδομής της ομάδας, οι hackers Star Blizzard φαίνεται πως άλλαξαν τις τακτικές τους, παραβιάζοντας λογαριασμούς WhatsApp. Ωστόσο, η εκστρατεία φαίνεται να έχει περιοριστεί.
«Οι στόχοι ανήκουν κυρίως στον τομέα της κυβέρνησης και της διπλωματίας, συμπεριλαμβανομένων τόσο των νυν όσο και των πρώην αξιωματούχων», δήλωσε ο Sherrod DeGrippo, στέλεχος της Microsoft.
Δείτε επίσης: Ρώσοι hackers εκμεταλλεύονται ευπάθεια στο NTLM για τη διάδοση RAT Malware μέσω Phishing emails
«Επιπλέον, οι στόχοι περιλαμβάνουν άτομα που εμπλέκονται στην αμυντική πολιτική, ερευνητές διεθνών σχέσεων με επίκεντρο τη Ρωσία και όσους παρέχουν βοήθεια στην Ουκρανία σε σχέση με τον πόλεμο με τη Ρωσία».
Οι επιθέσεις και σε αυτή την καμπάνια ξεκινούν με phishing email που υποτίθεται ότι προέρχεται από κυβερνητικό αξιωματούχο των ΗΠΑ. Περιέχει έναν QR code που παροτρύνει τους παραλήπτες να συμμετάσχουν σε μια υποτιθέμενη ομάδα WhatsApp για «τις τελευταίες μη κυβερνητικές πρωτοβουλίες που στοχεύουν στην υποστήριξη των ΜΚΟ της Ουκρανίας». Ωστόσο, ο QR code δεν λειτουργεί σωστά, ώστε να αναγκάσει το θύμα να ανταποκριθεί.
Εάν απαντήσει το θύμα, οι hackers Star Blizzard στέλνουν ένα δεύτερο μήνυμα, ζητώντας του να κάνει κλικ σε έναν συντομευμένο σύνδεσμο για να εγγραφεί στην ομάδα WhatsApp.
Αν το θύμα ακολουθήσει αυτόν τον σύνδεσμο, ανακατευθύνεται σε μια ιστοσελίδα που του ζητά να σαρώσει έναν QR code για να συμμετάσχει στην ομάδα. Ωστόσο, αυτός ο QR code χρησιμοποιείται στην πραγματικότητα από το WhatsApp για τη σύνδεση ενός λογαριασμού σε μια συνδεδεμένη συσκευή ή/και στο WhatsApp Web portal.

Αν ο στόχος ακολουθήσει τις οδηγίες στον ιστότοπο (aerofluidthermo[.]org), οι hackers Star Blizzard θα μπορέσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα μηνύματά του στο WhatsApp.
Τα άτομα και οι οργανισμοί που ανήκουν στους τομείς – στόχους της ομάδας Star Blizzard θα πρέπει να είναι προσεκτικοί με τα emails και τα μηνύματα που λαμβάνουν.
Δείτε επίσης: Οι Ρώσοι hackers UNC5812 στοχεύουν Ουκρανούς στρατιώτες με malware
Οι Ρώσοι hackers (Star Blizzard και άλλοι) έχουν γίνει μια σημαντική δύναμη στον κυβερνοχώρο, χρησιμοποιώντας τις δεξιότητές τους τόσο για εγκληματικούς όσο και για πολιτικούς σκοπούς. Καθώς η τεχνολογία συνεχίζει να προοδεύει, είναι πιθανό ότι αυτοί οι hackers θα συνεχίσουν να προσαρμόζουν και να εξελίσσουν τις τακτικές τους για πιο αποτελεσματικές επιθέσεις. Αυτό σημαίνει ότι θα συνεχίσουν να αποτελούν μια σημαντική πρόκληση για τις κυβερνήσεις και τους οργανισμούς.
Οι προειδοποιήσεις και οι προσπάθειες για την καταπολέμηση του ρωσικού hacking υπογραμμίζουν την ανάγκη για διεθνή συνεργασία και καινοτομία στο συνεχώς μεταβαλλόμενο τοπίο της κυβερνοασφάλειας. Επομένως, είναι σημαντικό τόσο τα άτομα όσο και οι οργανισμοί να παραμείνουν σε εγρήγορση και να ενημερώνουν συνεχώς τα μέτρα ασφαλείας τους για να προστατεύονται από πιθανές επιθέσεις. Με αυξημένη ευαισθητοποίηση και συνεργασία, μπορούμε να εργαστούμε για τον μετριασμό του αντίκτυπου των Ρώσων hackers στην παγκόσμια ασφάλεια στον κυβερνοχώρο.
Πηγή: thehackernews.com