Microsoft, Kremlin destekli gelişmiş kalıcı tehdit (APT) oyuncusu Star Blizzard’ın, altyapısına yönelik önemli bir eylemin ardından, Rusya’nın istihbarat teşkilatlarının ilgisini çeken hedeflere yönelik hedef odaklı kimlik avı kampanyalarında sosyal mesajlaşma uygulaması WhatsApp’tan yararlanmaya yöneldiği konusunda uyardı .
Microsoft bir süredir Star Blizzard’ın peşindeydi ve geçen yılın sonlarında Dijital Suçlar Birimi (DCU), grubun neredeyse 70 alanına karşı önemli bir yayından kaldırma operasyonu yürütmek için Amerika Birleşik Devletleri mahkemesinden izin aldı. Ekim 2024’ten bu yana, Microsoft ve ABD Adalet Bakanlığı (DoJ), Star Blizzard tarafından kullanılan 180’den fazla web sitesine el koydu veya çevrimdışına aldı; bu, APT’nin hain işlerini yürütme yeteneği üzerinde kısa vadeli önemli bir etkiye sahip oldu.
Bu eylem zaten savunucuların seçebileceği bir bilgi hazinesi ortaya çıkardı, ancak Microsoft Tehdit İstihbarat Merkezi’ne (MSTIC) göre grup dikkate değer bir dayanıklılık gösterdi ve WhatsApp’ın kötüye kullanılması da dahil olmak üzere yeni alanlara ve metodolojiye hızla geçiş yaptı.
MSTIC ekibi şunları söyledi: “Microsoft Tehdit İstihbaratı, 2024 Kasım ayının ortasında şunu gözlemledi: Star Blizzard, tipik hedeflerine hedef odaklı kimlik avı mesajları gönderiyor ve bu sefer sözde bir WhatsApp grubuna katılma fırsatını sunuyor.”
“Bu, Star Blizzard’ın uzun süredir devam eden taktikleri, teknikleri ve prosedürlerinde (TTP’ler) yeni bir erişim vektöründen faydalanmak için bir değişiklik tespit ettiğimiz ilk sefer.
“Tehdit aktörünün WhatsApp hesaplarını ele geçirmeye yönelmesinin, muhtemelen TTP’lerinin Microsoft Tehdit İstihbaratı ve ulusal siber güvenlik kurumları da dahil olmak üzere diğer kuruluşlar tarafından ifşa edilmesine tepki olarak olduğunu değerlendiriyoruz. Bu kampanya Kasım ayı sonunda sona ermiş gibi görünse de, yeni değişikliği, tehdit aktörünün tespit edilmekten kaçınmak için TTP’lerini değiştirmeye çalışabileceğinin bir işareti olarak vurguluyoruz” dedi.
WhatsApp kampanyasında Star Blizzard görevlileri, üst düzey bir ABD hükümet yetkilisi kılığında hedefleriyle ilk olarak e-posta yoluyla iletişime geçerek onlarla etkileşime geçti. Bu e-posta, alıcıyı Ukrayna’daki sivil toplum kuruluşu (STK) çalışmalarını tartışmak üzere bir WhatsApp grubuna katılmaya yönlendirdiği iddia edilen bir hızlı yanıt (QR) kodu içeriyordu. Ancak kurbanlarını yanıt vermeye ikna etmek amacıyla QR kodu kasıtlı olarak işlevsiz hale getirildi.
Şanssız hedef ise yaptım Cevap verdikten sonra Star Blizzard, onları WhatsApp grubuna yönlendiren kısaltılmış bir bağlantıyla yanıt verdi. Bu, hedefleri gruba katılmak üzere taramaları için başka bir QR kodu içeren bir web sayfasına gönderdi.
Son bir kaçamak olarak, bu ikinci QR kodu gruba bir bağlantı değildi, bunun yerine WhatsApp tarafından bir hesabı WhatsApp Web portalına bağlamak için kullanılıyordu; bu, meşru olarak insanların hesaplarına bir masaüstü bilgisayardan erişmelerini sağlamak için kullanılıyordu. isterlerse akıllı telefonları.
Kurbanlar, bu ikinci QR’yi tarayarak aslında Star Blizzard’a WhatsApp hesaplarına tam erişim sağladılar; bu hesaplardan siber hayaletler, tarayıcı eklentilerini kullanarak mesajları okuyabildi ve verileri sızdırabildi.
MSTIC, kampanyanın kapsamının sınırlı olduğunu ve Kasım 2024’ün sonunda sona ermiş gibi göründüğünü söyledi. Ancak araştırma ekibi, bunun Star Blizzard’ın ticari becerisinde açık bir kırılmaya işaret ettiğini ve kararlılığını vurguladığını söyledi.
Tipik hedefleme
MSTIC, Star Blizzard’ın genellikle hedeflediği sektörlerde çalışan herkese, güvenilir veya yeni kişilerden gelen beklenmedik veya istenmeyen e-postalarla uğraşırken ekstra dikkatli olmalarını tavsiye ediyor.
Bununla birlikte, sıradan kullanıcıların APT konusunda endişelenecek pek bir şeyi olmamalıdır, çünkü Star Blizzard’ın kampanya hedefleri çoğunlukla hükümette veya diplomatik toplulukta üst düzey pozisyonlarda bulunan kişiler, savunma ve uluslararası ilişkiler uzmanları ve “yardım kaynakları”dır. ”Ukrayna’ya.
Computer Weekly’nin 2022’de ifşa ettiği üzere Star Blizzard, daha önce MI6’nın eski başkanına ait e-postaları ve belgeleri ve aşırı zorlu bir Brexit için kampanya yürütmeye adanmış gizli sağcı bir ağın diğer üyelerini hacklemiş, tehlikeye atmış ve sızdırmıştı.
Bu veri dökümü aynı zamanda grubun SARS-CoV2’nin kökenleri hakkındaki komploları yayma ve Kovid-19 salgını sırasında Birleşik Krallık hükümetinin bilim ve teknoloji politikasını etkileme girişimlerini de açığa çıkardı.