Les Russes arrivent ! Euh, ils ont déjà infiltré • The Register

Les attaquants soutenus par la Russie ont désigné de nouvelles cibles pour leurs campagnes de phishing en cours, les entreprises industrielles de défense et les installations énergétiques étant désormais dans leur ligne de mire, selon les agences de l’alliance Five Eyes.

Dans une alerte de sécurité commune publiée jeudi, sept agences^* d’Australie, du Canada, de Nouvelle-Zélande, des États-Unis et du Royaume-Uni, ont mis en garde contre un gang criminel nommé Star Blizzard et ses techniques de phishing en évolution.

Les agences notent que le gang russe, également connu sous le nom de Callisto Group/TA446/COLDRIVER/TAG-53/BlueCharlie “est presque certainement subordonné au Centre 18 du Service fédéral de sécurité (FSB) russe”. Il ne faut pas confondre cela avec l’agence de renseignement militaire russe, le GRU, qui possède également sa propre branche de cyberespionnage et aime également faire du phishing sur les réseaux américains et européens.

“La Russie continue d’être une menace”, a prévenu Rob Joyce, directeur de la direction de la cybersécurité de la NSA, dans un communiqué. déclaration. “Les personnes à risque doivent noter que le FSB aime cibler les comptes de messagerie personnels, où ils peuvent toujours accéder à des informations sensibles, mais souvent avec une barre de sécurité inférieure.”

Star Blizzard, actif depuis au moins 2019, cible historiquement le monde universitaire, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion et les politiciens. Mais à partir de 2022, Star Blizzard a également commencé à stimuler les cibles industrielles de défense et les installations du département américain de l’Énergie.

“Le Center 18 a déjà été publiquement associé à des intrusions dans Yahoo! “Cela impliquait un cybercriminel coopté ainsi que des intrusions d’un jeune ressortissant canadien engagé pour cibler des comptes”, a déclaré John Hultquist, analyste en chef de Mandiant Intelligence. Le registre.

Jeudi également, le ministre britannique des Affaires étrangères, Leo Docherty accusé l’équipe du FSB a piraté les conversations privées de politiciens britanniques de haut niveau, puis a « divulgué sélectivement »[ing] et amplifier[ing] informations” pour ingérence politique.

Alors que ce gang, comme d’autres pirates informatiques soutenus par le Kremlin, concentre ses efforts d’espionnage sur des questions telles que la sécurité occidentale et les projets de politique étrangère, Mandiant a averti que la collecte de renseignements n’est pas le seul objectif de Moscou.

“Ce qui les distingue de beaucoup de leurs pairs et les rend particulièrement dangereux, c’est leur volonté de divulguer des données piratées à des fins politiques”, a expliqué Hultquist de Mandiant. “Pas récemment, en 2022, ils ont divulgué des courriels volés à des partisans du Brexit dans le but de suggérer un scandale.”

Alors que les cibles basées aux États-Unis et au Royaume-Uni semblent être les plus exposées aux attaques de Star Blizzard, les Five Eyes affirment que l’équipage soutenu par le Kremlin a également infiltré d’autres pays de l’OTAN, ainsi que d’autres pays partageant des frontières avec la Russie.

Les cyber-snoops jouent le jeu sur le long terme : ils prennent le temps de rechercher leurs cibles sur les réseaux sociaux et les plateformes de réseautage, puis créent leurs propres faux profils et domaines malveillants usurpés. Ils utilisent diverses adresses e-mail Web pour établir un premier contact, notamment Outlook, Gmail, Yahoo.!et Proton, et se font souvent passer pour quelqu’un que la cible connaît ou pour des personnalités bien connues de l’industrie.

“Il y a souvent une certaine correspondance entre l’attaquant et la cible, parfois sur une période prolongée, à mesure que l’attaquant établit une relation”, selon le alerte commune [PDF].

Une fois la confiance établie, les agents de Star Blizzard envoient un lien malveillant vers un faux site Web ou un faux document utilisé pour récolter les informations d’identification de la victime. Vient ensuite une tentative de se connecter au compte de messagerie de la victime, de fouiner et de voler des messages et des documents. Accéder aux contacts des victimes est un autre objectif, car cela fournit au gang des cibles supplémentaires pour ses campagnes de phishing.

Dans un séparé rapport publié jeudi, Microsoft a partagé des détails sur les tactiques, techniques et procédures (TTP) utilisées par Star Blizzard au cours de l’année écoulée.

La plupart visent à éviter la détection et incluent l’utilisation de scripts côté serveur pour empêcher l’analyse automatisée. Selon Redmond :

Un mois plus tard, l’équipage a commencé à mettre à jour son code JavaScript, et la version actuelle – intitulée « Docs » – est toujours utilisée.

Le code a trois fonctions : il vérifie si des plugins sont installés dans le navigateur, recherche des indicateurs indiquant que la page est analysée par un outil d’automatisation, puis renvoie les données collectées au serveur Evilginx.

Le gang utilise principalement HubSpot et MailerLite pour créer une campagne par e-mail et une URL qui sert de point d’entrée à la chaîne de redirection se terminant dans l’infrastructure du gang.

“Depuis mai 2023, la plupart des domaines enregistrés par Star Blizzard associés à leurs serveurs de redirection utilisent un fournisseur DNS pour masquer les adresses IP de résolution allouées à leur infrastructure VPS dédiée”, ont écrit les chercheurs de Microsoft.

Dans une autre tentative pour échapper aux outils de sécurité, Star Blizzard utilise généralement des leurres PDF protégés par mot de passe ou des liens vers des plateformes de partage de fichiers basées sur le cloud telles que Microsoft OneDrive et Proton Drive.

Et après Avenir enregistré fourni des moyens de détecter Après avoir enregistré des domaines Star Blizzard en août dernier, l’équipe est passée à un algorithme de génération de domaines plus aléatoire pour ses domaines. ®

^* Les agences qui ont émis conjointement l’alerte étaient le National Cyber ​​Security Center (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le FBI américain, la National Security Agency (NSA) des États-Unis, la Cyber ​​National Mission Force (CNMF) des États-Unis. ), l’Australian Cyber ​​Security Centre (ASD’s ACSC) de l’Australian Signals Direction, le Centre canadien pour la cybersécurité (CCCS) et le Centre national de cybersécurité de la Nouvelle-Zélande (NCSC-NZ)