Ruskí hackeri zmenili taktiku. Po novom kompromitujú WhatsApp účty. Ak pracuješ v týchto odvetviach, cieľom si aj ty

Bezpečnostní analytici upozorňujú na novú spearphishingovú kampaň ruskej hackerskej skupiny Star Blizzard. Títo užívatelia sú v ohrození.

ruski hackeri
Zdroj: izhar-ahamed a Abbie Fyre z pixabay.com, Vosveteit.sk (úprava)

Bezpečnostní experti z Microsoftu pozorovali od polovice novembra 2024 zvýšenú aktivitu ruskej hackerskej skupiny Star Blizzard. Tá vykonávala spearphishing útoky a opäť cielila na vybranú skupinu užívateľov.  

Spearphishing kampane sú typické phishingové kampane, ktoré prebiehajú na vytipovaných užívateľoch namiesto toho, aby hackeri útočili masovo na kohokoľvek. V prípade tohto typu útoku oslovia hackeri vybraných ľudí a snažia sa ich nahovoriť na to, aby sa pridali do WhatsApp skupiny. V rámci najnovších útokov bezpečnostní analytici po prvýkrát pozorovali, že skupina Star Blizzard upravila svoju taktiku útoku. Po dlhej dobe zvolili hackeri nový vektor útoku.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Spravidla sa útoky Star Blizzard spájajú s vládnym alebo diplomatickým sektorom, no zvyknú útočiť aj na bývalých či súčasných pracovníkov v obrannom sektore alebo v oblasti medzinárodných vzťahov. Mimo iné útočia aj na subjekty, ktoré podporujú Ukrajinu v prebiehajúcom konflikte s Ruskom.  

ruski hackeri titulka
Zdroj: trambler58 / Shutterstock.com

“Medzi januárom 2023 a augustom 2024 sme sledovali, ako táto hackerská skupina cieli na novinárov, think tanky či mimovládne organizácie. Útočili metódou spearphishingu, pričom kradli rôzne citlivé informácie alebo narúšali činnosť organizácií a dôležitých jedincov. Od októbra 2024 sme spoločne s americkým Ministerstvom spravodlivosti zhodili viac ako 180 webových stránok, ktoré sa spájali s touto aktivitou. Tento zásah mal krátkodobý dopad na činnosť hackerov, no Star Blizzard sa dokázal rýchlo postaviť na nohy a začal používať nové domény na útok,” vysvetľuje Microsoft.  

Po dlhej dobe skúsila skupina Star Blizzard nový trik

Hackeri zo skupiny Star Blizzard ukázali veľkú odolnosť a schopnosť sa prispôsobiť narušeniam ich záškodnej činnosti. Zároveň bezpečnostní analytici po dlhej dobe videli, ako hackerská skupina prešla na novú taktiku, napádanie WhatsApp účtov. Hoci hackerská skupina zvolila novú formu útoku, spôsob akým prebieha spearphishing, je konzistentný s tým, ako Star Blizzard pracuje.  

Aj útoky cez WhatsApp sa začínajú prvotným kontaktom cez email. Hackeri nadviažu so svojim cieľom kontakt a až v druhej správe im pošlú škodlivý odkaz. Mailová adresa, ktorú používajú hackeri pri útoku napodobňuje adresu nejakého predstaviteľa americkej vlády. Hackeri zo Star Blizzard dokážu verne napodobňovať rôzne politické, či diplomatické osobnosti.  

Prvá správa obsahuje aj QR kód, ktorý slúži na pridanie sa do WhatsApp skupiny, ktorá sa podľa slov hackerov zaoberá najnovšími mimovládnymi iniciatívami na pomoc Ukrajine. Zaujímavosťou je, že QR kód je zámerne poškodený a nevedie nikam, ani do spomínanej WhatsApp skupiny, ani na škodlivú stránku hackerov. Bezpečnostní analytici vysvetľujú, že úmyselné poškodenie kódu s najväčšou pravdepodobnosťou slúži na vyvolanie reakcie obete.  

Tieto podvody používajú útočníci na WhatsApp najčastejšie
Zdroj: Unsplash (lilartsy, Dima Solomin), Úprava: Vosveteit.sk

Takto oklamú aj skúsených

Keď obeť odpovie, typicky spomenie nefunkčný QR kód. Hackeri následne v nadchádzajúcej správe posielajú škodlivý odkaz. Keď obeť na tento odkaz klikne, dostáva sa na stránku, ktorá ich vyzýva na oskenovanie ďalšieho QR kódu. Tento kód ale prepája WhatsApp účet s konkrétnym zariadením alebo webovým portálom. V praxi znamená oskenovanie QR kódu to, že obeť poskytne hackerskej skupine prístup k svojim správam. Po získaní prístupu hackeri exfiltrujú správy pomocou webových rozšírení.  

“Kampaň prebiehala v limitovanom merítku a zdá sa, že do konca novembra 2024 úplne utíchla. Napriek tomu je významná tým, že značí zmenu dlho zaužívanej taktiky skupiny Star Blizzard. Zároveň ju môžeme považovať za dôkaz toho, že hackeri chcú pokračovať vo svojich spearphishing kampaniach, aby získali prístup k citlivým informáciám aj napriek tomu, že opakovane útočíme na ich operácie,” tvrdí Microsoft.

ruski hackeri kradez whatsapp uctu
Zdroj: microsoft.com

Bezpečnostní analytici varujú, že ak pracuješ vo vládnom, diplomatickom, výskumnom alebo obrannom sektore, aj ty si potenciálnym terčom pre tento podvod. Rovnako to platí, ak pracuješ pre organizáciu ponúkajúcu nejakú formu pomoci Ukrajine. V takom prípade si dávaj zvýšený pozor na nevyžiadané emaily, obzvlášť ak obsahujú odkaz na inú stránku.  

Sleduj kanál Vosveteit.sk v aplikácii WhatsApp

Komentáre