W ostatnim artykule opisałem, jak pozorne zgłoszenia phishingu mogą służyć do masowego zbierania kontaktów i przygotowywania ataków typu BEC. Technika ta nie jest pojedynczym przypadkiem – wpisuje się we wzorzec wykorzystywany m.in. w operacji znanej jako Overload, w której atakujący celowo rozsyłają do redakcji i zespołów ds. reagowania na incydenty cyberbezpieczeństwa fałszywe zgłoszenia. Hakerzy gromadzą informacje na temat ludzi, na temat procesów i zasobów IT. W tym materiale chcę podać nieco więcej informacji w kontekście naruszania pewnych procedur bezpieczeństwa: jakie cele operacyjne obierają hakerzy (prawdopodobnie) z rosyjską atrybucją oraz jak zespoły CERT, SOC i redakcje portali internetowych mogą skuteczniej się przed tym zabezpieczać.
Ten artykuł jest kontynuacją poprzedniego pt. „Fałszywe zgłoszenia phishingu jako metoda zbierania kontaktów i ataki BEC”.
Opisana wcześniej technika rzekomo zgłaszanego phishingu (w rzeczywistości będąca pierwszym krokiem w ataku) bardzo dobrze pasuje do kampanii Overload, znanej też jako Matrioszka, którą przypisuje się m.in. hakerom ze Storm-1679 o rosyjskiej atrybucji.
Dziękuję pracownikowi jednego z polskich uniwersytetów, który skontaktował się ze mną i zechciał podzielić się swoimi przemyśleniami na temat opisanego wcześniej artykułu, jak również zasygnalizował, iż atakujący działają podobnie do Storm-1679.
W obu przypadkach – w naszym, redakcyjnym oraz w europejskich atakach z operacji Overload – najważniejsze jest podobieństwo mechanizmu ataku mianowicie hakerzy wysyłają do podmiotów, na pierwszy rzut oka sensowne i wiarygodne zgłoszenia stron/ domen, biorących udział w oszustwach i wymuszeniach finansowych. W operacji Overload celem były redakcje, organizacje fact-checkingowe i analitycy ds. bezpieczeństwa. Atakujący wysyłali zgłoszenia i prośby o weryfikację domeny, licząc na to, iż odbiorca poświęci czas na analizę problemu i nieświadomie odpowie na wiadomość w mailu.
Fałszywe zgłoszenia – w jakim celu?
Powód jest jeden – by poznać ludzi, którzy pracują na danym stanowisku. Rozpoznanie można rozbudować w ramach OSINT via LinkedIn, które także jest używane przez hakerów do wyszukiwania informacji na temat pracowników.
W przypadku wiadomości email od hakerów, na podstawie samych nagłówków i treści, nie da się wiarygodnie wytypować konkretnego APT na tak wczesnym etapie. Można natomiast przypisać techniki MITRE:
- T1598: wysyłanie phishingu i zbieranie informacji (bez infekowania urządzeń), identyfikacja adresów email, kontakty, pełnione role w firmie, organizacji,
- T1591: podobnie – harvesting informacji na temat ofiary,
- T1592: tutaj już wchodzą metadane urządzeń, środowiska IT, które można wyłapać z nagłówków e-mail.
Porównując te techniki z ogólnodostępnymi można je w teorii przypasować m.in. do Storm-1679. Napisałem „między innymi”, ponieważ podobny rekonesans wykonywany jest przez co najmniej jeszcze kilkadziesiąt grup APT, które są kojarzone nie tylko z Rosją, ale także Pakistanem, Iranem i Chinami.
Otrzymując wiadomość, którą opisałem w poprzednim artykule (raz jeszcze zamieszczam) […]
Kolejna wiadomość dociera po 3 dniach, już nie po polsku, a po angielsku.
[…] technicznie rzecz biorąc nie da się jej na 100% przypisać do konkretnej grupy APT, jednak można mieć pewne przypuszczenia.
By lepiej rozpoznać procesy, jakie zachodzą w danej firmie na tym etapie, hakerów nie interesują systemy informatyczne, chociaż trzeba szczerze przyznać, iż odpisując im z klienta poczty, zostawia się nagłówek, który może wskazywać na system operacyjny, klienta poczty, sposób routingu czy użycie konkretnego MTA (np. Postfix, Exim, Sendmail, Microsoft Exchange) np. w źródle wiadomości widzimy:
Atakujący zbierają informacje na temat tego, czy odpowiedź jest wygenerowana automatycznie, czy napisana manualnie, jak również ile czasu zajmuje reakcja na zgłoszenie, kto im odpowiada i tak dalej (by lepiej zrozumieć schemat działania danej firmy).
Aktualnie w przypadku Storm-1679 najczęściej celem są publicznie dostępne kanały kontaktowe, takie jak skrzynki @abuse, @cert, @security, @kontakt czy ogólne adresy mailowe do zgłaszania incydentów. W ten sposób rozpoznawane są zespoły SOC oraz CERT-y, w tym podmioty pełniące rolę koordynacyjną, jak CERT Polska.
Hakerzy, wysyłając takie zgłoszenia, chcą uzyskać odpowiedzi w celu:
- mapowania aktywnych adresów email i ludzi (później atak może być przerzucony na LinkedIn),
- identyfikowania zespołów ds. reagowania IT,
- testują procesy i czas reakcji,
- prawdopodobnie budują bazę pod ukierunkowane działania, które mogą pojawić się za kilka tygodni albo za kilka miesięcy.
Matrioszka, Overload – rosyjska kampania
Kampania, znana jako Overload (czasem opisywana jako część kampanii Matrioszka / Storm-1679), była/jest prowadzona przez prorosyjskich aktorów. Taktyka opiera się na wysyłaniu wiarygodnych wiadomości do redakcji i badaczy z prośbami o weryfikację oszustwa.
Raporty wskazują, iż kampania ta objęła ponad 800 organizacji w Europie i poza nią, wysyłając setki maili i tysiące wzmiankowań w mediach społecznościowych z prośbami o sprawdzenie rzekomo problematycznych treści. W jej ramy wchodzą między innymi podejrzane domeny, fałszywe obrazy i materiały mające wyglądać na autentyczne oraz sieci kont na platformach takich jak X, Telegram czy Bluesky.
W Europie operacja Overload była szczególnie aktywna wobec organizacji we Francji, Niemczech, Włoszech oraz Ukrainie. Jej taktyki obejmowały również wielojęzyczne przekazy mające wprowadzać w błąd badaczy, a także próby wywoływania szybkich reakcji, które już same w sobie stanowią element rozpoznawczy.
Bezpośrednie powiązania Overload z polskim środowiskiem medialnym lub certyfikacyjnym nie są raportowane (możliwe, iż AVLab robi to jako pierwszy), ale podobne kampanie były analizowane w kontekście operacji typu Doppelganger dotyczącej wyborów w Polsce.
Rekomendacje dla redakcji i zespołów IT ds. reagowania na zagrożenia
W kontekście ochrony najważniejsze jest uświadomienie członków zespołów, iż u źródeł takich zgłuszeń nie zawsze są ataki. Dodatkowo i niestety już sama odpowiedź staje się cenną informacją operacyjną dla hakerów – nie w każdym przypadku możliwa jest defensywna prewencja. Hakerzy wysyłają maile z uwierzytelnionych domen Gmail, zatem poprawnie przechodzą przez wszystkie filtry anty-malware i anty-spam, ponieważ nie dołączają żadnych załączników ani hiperłączy do szkodliwych treści.
Co warto zrobić?
- Ograniczyć manualne odpowiadanie na takie zgłoszenia.
- Oddzielić skrzynki mailowe: publiczny adres typu kontakt@ lub abuse@ niech służy wyłącznie do odbioru zgłoszeń, bez możliwości bezpośredniej odpowiedzi manualnej. Inny przykład to całkowite oddzielenie skrzynek analityków i zespołów SOC od adresów publikowanych na stronie WWW. Analityk niech nie odpowiada z własnego maila. Odpowiedź, jeżeli w ogóle jest wysyłana, niech wychodzi z adresu noreply@, incident@ albo poprzez system ticketowy.
Im szybciej tego typu wiadomości zostaną rozpoznane i zignorowane, tym mniej danych trafi w ręce przestępców. Brak reakcji to także przerwanie łańcucha rozpoznania. Z drugiej jednak strony, firmy, które posiadają odpowiednie zasoby, mogą stworzyć takie skrzynki-pułapki (honeypoty), aby wyłapywać więcej interesujących, unikalnych kampanii, by ujawniać działania hakerów.
