Star Blizzard, яка, як відомо, є частиною ФСБ Росії, перемістила схеми на платформу обміну повідомленнями минулого листопада.
Гра в кішки-мишки між спонсорованими державою російськими хакерами та однією з найбільших у світі технологічних компаній тривала до 2025 року.
Команда розвідки загроз Microsoft опублікувала 16 січня дослідження, в якому досліджується, як спонсорована державою російська група розповсюджувачів загроз, відома як Star Blizzard, змінила свої давні стратегії атак, щоб націлитися на облікові записи WhatsApp. Цей вектор атаки є значною зміною в тактиці, техніці та процедурах групи (TTP), оскільки раніше вона зазвичай покладалася на електронну пошту.
За допомогою фішингових кампаній група зазвичай націлена на окремих осіб і організації, пов’язані з урядом, дипломатією, оборонною політикою та дослідженнями міжнародних відносин, особливо коли ця діяльність стосується Росії. Історично склалося так, що вони також націлювалися на організації громадянського суспільства — зокрема журналістів, аналітичні центри та неурядові організації — з метою вилучення конфіденційної інформації та зриву операцій.
Під час кампанії, яка спостерігалася в середині листопада 2024 року, початковий підхід Star Blizzard передбачав надсилання електронних листів нібито від урядовця США, які містили QR-код, який, як стверджується, направляв одержувачів до інформації про підтримку українських НУО. QR-код, однак, був навмисно зламаний, спонукаючи цілі відповісти на альтернативне посилання. Подальше повідомлення включало зловмисне скорочене посилання, призначене для того, щоб ввести в оману цілі, щоб повірити, що вони приєднуються до групи WhatsApp. Насправді посилання вело на фішинговий веб-сайт із використанням функції зв’язування облікового запису WhatsApp із QR-кодом. Цей маневр дозволяє зловмиснику отримати несанкціонований доступ до повідомлень WhatsApp жертв через його веб-платформу обміну повідомленнями, що потенційно може поставити під загрозу приватність і конфіденційність конфіденційних повідомлень.
Ця операція Star Blizzard, яка, як вважають, є оперативним підрозділом Центру 18 ФСБ Росії, стала результатом спільних зусиль Microsoft і Міністерства юстиції США в жовтні, спрямованих на закриття понад 180 веб-сайтів, пов’язаних з попередніми кампаніями групи. Хоча ці дії тимчасово перешкоджали фішинговим операціям Star Blizzard, зловмисник швидко перейшов на нові домени, підкреслюючи їх стійкість і адаптивність до дій правоохоронних органів.
Microsoft вважає, що націлювання групи на облікові записи WhatsApp є відповіддю на викриття її попередніх TTP, спрямованих на те, щоб уникнути виявлення агентствами з кібербезпеки. У компанії кажуть, що є срібна підкладка: ця конкретна кампанія припинилася наприкінці листопада. Корпорація Майкрософт не надала жодних доказів того, чому операція раптово припинилася.
Незалежно від того, чи йдеться про електронну пошту чи WhatsApp, Microsoft попереджає тих, хто може стати мішенню, бути пильними щодо повідомлень, які посилаються на зовнішні мережі. Компанія стверджує, що людям, які виконують такі посади, слід бути особливо обережними:
Уряд чи дипломатія (чинні та колишні посади)
Дослідження оборонної політики чи міжнародних відносин, пов’язаних із Росією
Допомога Україні, пов’язана з триваючим конфліктом з Росією
«Якщо ви сумніваєтеся, зв’яжіться з особою, яка, на вашу думку, надсилає електронний лист, використовуючи відому та раніше використану адресу електронної пошти, щоб переконатися, що електронний лист справді надіслано нею», — зазначає компанія у своєму блозі.
Microsoft ловить російських державних хакерів, які змінюють тактику на WhatsApp
