W następstwie znaczących działań przeciwko jego infrastrukturze, wspieranych przez Kreml zaawansowane, trwałe zagrożenie Aktor (APT), Star Blizzard, zaczął wykorzystywać komunikator WhatsApp w swoich kampaniach typu spear-phishing przeciwko celom będącym przedmiotem zainteresowania rosyjskich agencji wywiadowczych – ostrzegł Microsoft.
Microsoft od jakiegoś czasu depcze Star Blizzardowi, a pod koniec ubiegłego roku jego jednostka ds. przestępstw cyfrowych (DCU) otrzymała pozwolenie od sądu Stanów Zjednoczonych na przeprowadzenie znaczącej operacji usunięcia prawie 70 domen grupy. Od października 2024 rMicrosoft i Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) przejęły lub wyłączyły ponad 180 stron internetowych używanych przez Star Blizzard, co miało znaczący krótkoterminowy wpływ na zdolność APT do prowadzenia swoich nikczemnych interesów.
Ta akcja już przyniosła skutek skarbnica informacji dla obrońców do przejęcia, ale według Centrum analizy zagrożeń Microsoft (MSTIC) grupa wykazała się niezwykłą odpornością i gwałtownie przeszła na nowe domeny i metodologię, w tym wykorzystanie WhatsApp.
„W połowie listopada 2024 r. Microsoft Threat Intelligence zaobserwował, że… Star Blizzard wysyła swoim typowym celom wiadomości typu spear-phishing, tym razem oferując rzekomą możliwość dołączenia do grupy WhatsApp” – powiedział zespół MSTIC.
„Po raz pierwszy stwierdziliśmy zmianę w dotychczasowej taktyce, technikach i procedurach (TTP) Star Blizzard w celu wykorzystania nowego wektora dostępu.
„Oceniamy, iż przejście ugrupowania zagrażającego w kierunku naruszania kont WhatsApp jest prawdopodobne w odpowiedzi na ujawnienie jego TTP przez Microsoft Threat Intelligence i inne organizacje, w tym krajowe agencje ds. cyberbezpieczeństwa. Choć wydaje się, iż kampania ta dobiegła końca pod koniec listopada, podkreślamy tę nową zmianę jako znak, iż podmiot zagrażający może próbować zmienić swoje TTP, aby uniknąć wykrycia” – stwierdzili.
W kampanii WhatsApp agenci Star Blizzard najpierw kontaktowali się ze swoimi celami za pośrednictwem poczty elektronicznej, aby nawiązać z nimi kontakt, podając się za wyższego rangą urzędnika rządowego USA. Ten e-mail zawierał kod szybkiej odpowiedzi (QR). która miała na celu nakłonienie odbiorcy do dołączenia do grupy WhatsApp w celu omówienia pracy organizacji pozarządowych (NGO) na Ukrainie. Jednak w celu nakłonienia ofiar do odpowiedzi kod QR celowo nie działał.
Jeśli pechowy cel zrobił odpowiedział, Star Blizzard odpisał, załączając skrócony link najwyraźniej kierujący ich do grupy WhatsApp. Spowodowało to wysłanie celów na stronę internetową zawierającą inny kod QR, który należało zeskanować i dołączyć do grupy.
W ostatecznym podstępie ten drugi kod QR nie był łączem do grupy, ale został wykorzystany przez WhatsApp do połączenia konta z portalem internetowym WhatsApp, który jest legalnie używany w celu umożliwienia ludziom dostępu do swoich kont na komputerze stacjonarnym zamiast swojego telefona, jeżeli chcą.
Skanując drugi kod QR, ofiary w rzeczywistości zapewniły Star Blizzard pełny dostęp do swoich kont WhatsApp, skąd cyberprzestępcy mogli czytać wiadomości i wydobywać dane dzięki wtyczek do przeglądarek.
MSTIC stwierdziło, iż kampania miała ograniczony zakres i prawdopodobnie zakończyła się z końcem listopada 2024 r. Jednakże, zdaniem zespołu badawczego, oznacza to wyraźny przełom w rzemiośle Star Blizzard i podkreśla jego nieustępliwość.
Typowe targetowanie
MSTIC zaleca każdemu, kto pracuje w sektorach, na które zwykle skupia się firma Star Blizzard, zachowanie szczególnej czujności w przypadku nieoczekiwanych lub niechcianych wiadomości e-mail od zaufanych lub nowych kontaktów.
Jednak zwykli użytkownicy nie powinni się martwić ze strony APT, ponieważ jak zawsze celami kampanii Star Blizzard są najczęściej osoby zajmujące wysokie stanowiska w rządzie lub społeczności dyplomatycznej, eksperci ds. obrony i stosunków międzynarodowych oraz „źródła pomocy „na Ukrainę.
Jak ujawnił Computer Weekly w 2022 r. firma Star Blizzard zhakowała, zhakowała i wyciekła e-maile oraz dokumenty należące do były szef MI6wraz z innymi członkami tajnej prawicowej siatki zaangażowanej w kampanię na rzecz skrajnie twardego brexitu.
Ten zrzut danych ujawnił również próby grupy szerzenia spisków na temat pochodzenia SARS-CoV2 oraz wpływać na politykę rządu Wielkiej Brytanii w zakresie nauki i technologii podczas pandemii Covid-19.
