Το Ηνωμένο Βασίλειο και οι σύμμαχοι εκθέτουν τη ρωσική ομάδα hacking FSB, επιβάλλει κυρώσεις σε μέλη

Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και η Microsoft προειδοποιούν ότι ο υποστηριζόμενος από το κράτος ηθοποιός “Callisto Group” (γνωστός και ως “Seaborgium” ή “Star Blizzard”) στοχεύει οργανισμούς σε όλο τον κόσμο με εκστρατείες spear-

phishing

που χρησιμοποιούνται για την κλοπή διαπιστευτηρίων και δεδομένων λογαριασμού .

Ο Callisto είναι ένας προηγμένος παράγοντας επίμονης απειλής (APT) που δραστηριοποιείται από τα τέλη του 2015 και έχει αποδοθεί στο τμήμα «Centre 18» της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) της Ρωσίας.

Πέρυσι, οι αναλυτές απειλών της Microsoft διέκοψαν την επίθεση μιας ομάδας που στόχευε διάφορες ευρωπαϊκές χώρες του ΝΑΤΟ, απενεργοποιώντας τους λογαριασμούς Microsoft του παράγοντα απειλών που χρησιμοποιούνται για παρακολούθηση και συλλογή email. Η Microsoft ανέφερε επίσης 69 τομείς που σχετίζονται με τις καμπάνιες ηλεκτρονικού ψαρέματος για τον τερματισμό των τοποθεσιών.

Τον Ιανουάριο του τρέχοντος έτους, το NCSC προειδοποίησε για τις επιθέσεις του Callisto, υπογραμμίζοντας τη νοημοσύνη ανοιχτού κώδικα (OSINT) και τις δεξιότητες κοινωνικής μηχανικής της ομάδας.

Σήμερα, το

Ηνωμένο Βασίλειο

απέδωσε επίσημα επιθέσεις στην Callisto που οδήγησαν σε

διαρροή εμπορικών εγγράφων ΗΒ-ΗΠΑ

ο

2018 hack του βρετανικού think tank Institute for Statecraft

και πιο πρόσφατα, το χακάρισμα στον ιδρυτή της StateCraft, Christopher Donnelly.

Επιπλέον

, το Ηνωμένο Βασίλειο λέει ότι η ομάδα βρίσκεται πίσω από επιθέσεις διαπιστευτηρίων και κλοπής δεδομένων εναντίον βουλευτών από πολλά πολιτικά κόμματα, πανεπιστήμια, δημοσιογράφους, τον δημόσιο τομέα, μη κυβερνητικές οργανώσεις και άλλες οργανώσεις της κοινωνίας των πολιτών.

«Το Γραφείο Εξωτερικών, Κοινοπολιτείας και Ανάπτυξης κάλεσε επίσης τον Ρώσο Πρέσβη για να εκφράσει τη βαθιά ανησυχία του Ηνωμένου Βασιλείου για τις συνεχείς προσπάθειες της Ρωσίας να χρησιμοποιήσει τον κυβερνοχώρο για να παρέμβει σε πολιτικές και δημοκρατικές διαδικασίες στο Ηνωμένο Βασίλειο και πέραν αυτού», αναφέρεται σε

δήλωση τύπου

από το ΗΒ.

Οι τελευταίες τακτικές του Callisto

Σε ένα δελτίο που δημοσιεύτηκε σήμερα, το NCSC του Ηνωμένου Βασιλείου αναφέρει ότι η Callisto παραμένει επικεντρωμένη στην εξασφάλιση επιθέσεων spear-phishing με στόχο κυβερνητικούς οργανισμούς, δεξαμενές σκέψης, πολιτικούς, αμυντικές-βιομηχανικές μονάδες και διάφορες ΜΚΟ της χώρας.

“Αυτή η συμβουλή αυξάνει την ευαισθητοποίηση σχετικά με τις τεχνικές spear-phishing που χρησιμοποιεί η Star Blizzard για να στοχεύσει άτομα και οργανισμούς. Αυτή η δραστηριότητα θα συνεχιστεί έως το 2023”, προειδοποιεί η

NCSC

.

Οι εισβολείς προμηθεύονται βασικές πληροφορίες από πλατφόρμες κοινωνικών μέσων όπως το

LinkedIn

και στη συνέχεια προσεγγίζουν τους στόχους τους στέλνοντας προσωπικές διευθύνσεις που είναι λιγότερο πιθανό να παρακολουθούνται από το λογισμικό ασφαλείας της επιχείρησης.

Αφού χτίσει σχέση με τον στόχο με την πάροδο του χρόνου, το Callisto στέλνει έναν κακόβουλο σύνδεσμο ενσωματωμένο σε ένα έγγραφο PDF που φιλοξενείται στο Google Drive ή στο OneDrive, το οποίο μεταφέρει τον στόχο σε έναν ιστότοπο ηλεκτρονικού ψαρέματος.

Οι ιστότοποι phishing, που φιλοξενούνται σε παράνομους τομείς, στοχεύουν τη Microsoft, το Yahoo και άλλες πλατφόρμες αποστολής email και συχνά προστατεύονται από ένα

CAPTCHA

για να φιλτράρουν τα bots και να δίνουν μια αίσθηση επιπλέον νομιμότητας.

Η λειτουργία phishing υποστηρίζεται από το πλαίσιο επίθεσης διακομιστή μεσολάβησης ανοιχτού κώδικα EvilGinx που κλέβει τόσο τα διαπιστευτήρια χρήστη όσο και τα cookie περιόδου λειτουργίας. Αυτό επιτρέπει στο Callisto να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων κατά τη σύνδεση με τα κλεμμένα διαπιστευτήρια.

Στη συνέχεια, οι εισβολείς χρησιμοποιούν τις κλεμμένες πληροφορίες για να αποκτήσουν πρόσβαση στον λογαριασμό email του θύματος, να αναλύσουν τα εισερχόμενά τους και να δημιουργήσουν κανόνες προώθησης που τους δίνουν συνεχή πρόσβαση στις μελλοντικές επικοινωνίες του θύματος.

Σε αυτό το τελικό στάδιο, οι χειριστές Callisto εντοπίζουν και συμμετέχουν σε οποιεσδήποτε πλευρικές ευκαιρίες phishing, χρησιμοποιώντας την πρόσβασή τους στα εισερχόμενα του θύματος για να πετύχουν άλλους βασικούς στόχους.

Η Microsoft έχει επίσης

δημοσίευσε έκθεση

σήμερα επισημαίνοντας τις ακόλουθες νέες τεχνικές, τακτικές και διαδικασίες που υιοθέτησε ο παράγοντας απειλών μετά τον Απρίλιο του 2023:

• Χρήση σεναρίων από την πλευρά του διακομιστή που εμποδίζουν την αυτόματη σάρωση της κακόβουλης υποδομής.
• Χρήση υπηρεσιών πλατφόρμας μάρκετινγκ ηλεκτρονικού ταχυδρομείου όπως το HubSpot και το MailerLite για την απόκρυψη πραγματικών διευθύνσεων ηλεκτρονικού ταχυδρομείου.
• Χρήση παρόχου DNS για απόκρυψη των διευθύνσεων IP της υποδομής VPS.
• Χρήση αλγορίθμου δημιουργίας τομέα (DGA) για καλύτερη διαφυγή και αντίσταση σε μπλοκ.

Η άμυνα έναντι της απειλής Callisto και κάθε επίθεσης spear-phishing απαιτεί μια πολύπλευρη προσέγγιση, συμπεριλαμβανομένης της χρήσης μεθόδων MFA ανθεκτικών στο phishing, όπως τα κλειδιά υλικού, της εφαρμογής αυστηρών πολιτικών πρόσβασης υπό όρους και της παρακολούθησης για μη φυσιολογική δραστηριότητα.

Κυρώσεις από τις ΗΠΑ και το Ηνωμένο Βασίλειο

Μια διεθνής αρχή επιβολής του νόμου που αποτελείται από υπηρεσίες από το Ηνωμένο Βασίλειο, τις ΗΠΑ, την Αυστραλία, τον Καναδά και τη Νέα Ζηλανδία εντόπισε δύο μέλη της ομάδας χάκερ Callisto.

Αυτοί είναι ο Αλεξάντροβιτς Περετουάτκο, που πιστεύεται ότι είναι αξιωματικός πληροφοριών του FBS Centre 18, και ο Αντρέι Στάνισλαβοβιτς Κορινέτς, γνωστός και ως «Alexey Doguzhiev».

Και οι δύο θεωρούνται άμεσα υπεύθυνοι για τις επιχειρήσεις Callisto που στοχεύουν πολλαπλούς οργανισμούς του Ηνωμένου Βασιλείου, ορισμένοι με αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβαση και τη διείσδυση ευαίσθητων δεδομένων.

Στο πλαίσιο της σημερινής ανακοίνωσης, τόσο το Ηνωμένο Βασίλειο όσο και η

Οι ΗΠΑ έχουν επιβάλει κυρώσεις στα δύο μέλη

για απόπειρα υπονόμευσης της δημοκρατικής διαδικασίας του Ηνωμένου Βασιλείου. Το Υπουργείο Δικαιοσύνης των ΗΠΑ έχει επίσης

κατήγγειλε τα μέλη

για «επιχειρήσεις κακοήθους επιρροής που έχουν σχεδιαστεί για να επηρεάσουν τις εκλογές του 2019 στο Ηνωμένο Βασίλειο».

«Το Ηνωμένο Βασίλειο έχει

τιμώρησε δύο άτομα

για συμμετοχή σε επιχειρήσεις ψαρέματος με δόρυ με σκοπό τη χρήση πληροφοριών που ελήφθησαν για να υπονομεύσουν τις δημοκρατικές διαδικασίες του Ηνωμένου Βασιλείου», αναφέρει μια

δήλωση τύπου

από το Υπουργείο Οικονομικών των ΗΠΑ.

«Οι Ηνωμένες Πολιτείες, για υποστήριξη και αλληλεγγύη προς το Ηνωμένο Βασίλειο, ανέλαβαν επίσης δράση εναντίον των ίδιων ατόμων, εντοπίζοντας τη σύνδεσή τους με τη μονάδα FSB και τη δραστηριότητά της που στόχευε κρίσιμα κυβερνητικά δίκτυα των ΗΠΑ».

Το πρόγραμμα Rewards for Justice της κυβέρνησης των ΗΠΑ προσφέρει επίσης

ανταμοιβή 10 εκατομμυρίων δολαρίων

για πληροφορίες σχετικά με τα μέλη της ομάδας Callisto και τις δραστηριότητές τους.