Microsoft, National Cyber Security Centre (Regno Unito), NSA e FBI hanno scoperto nuovi attacchi effettuati dal gruppo Star Blizzard (noto anche come Callisto, Seaborgium o Codldriver) contro le organizzazioni occidentali coinvolte nel supporto all’Ucraina. L’azienda di Redmond ha descritto in dettaglio le tecniche utilizzate dai cybercriminali durante le loro attività di spionaggio per conto del Servizio federale per la sicurezza della Federazione Russa (FSB).
Spear phishing a scopo di spionaggio
Il gruppo Star Blizzard è specializzato in attacchi di spear phishing. Dopo aver individuato le vittime (principalmente organizzazioni governative, ma anche giornalisti e politici), i cybercriminali inviano email per rubare credenziali di login e dati sensibili tramite link a documenti PDF ospitati su Google Drive o OneDrive che portano a siti di phishing.
L’uso del proxy open source EvilGinx consente al gruppo di intercettare i cookie di sessione e aggirare l’autenticazione in due fattori. Microsoft ha descritto le cinque tecniche sfruttate per evitare la rilevazione da parte delle soluzioni di sicurezza: script server-side per prevenire la scansione automatica dell’infrastruttura, servizi di email marketing per nascondere il dominio dell’indirizzo email, provider DNS per nascondere l’indirizzo IP del VPS (Virtual Private Server), documenti PDF protetti da password o link a servizi di file sharing e algoritmi di generazione di domini casuali.
Stati Uniti e Regno Unito hanno individuato e sanzionato due membri di Star Blizzard: Ruslan Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets. Il Dipartimento di Stato degli Stati Uniti ha offerto una ricompensa fino a 10 milioni di dollari a chiunque fornisca informazioni per identificare gli altri membri del gruppo e la loro posizione.