Microsoft warnt vor Identitätsdiebstahl
Der als COLDRIVER bekannte Bedrohungsakteur setzt seine Aktivitäten zum Diebstahl von Zugangsdaten gegen Einrichtungen von strategischem Interesse für Russland fort und verbessert gleichzeitig seine Fähigkeiten zur Umgehung der Sicherheitssysteme. Das Microsoft-Threat-Intelligence-Team zählt den Akteur zur Star-Blizzard-Gruppe, die früher gern als SEABORGIUM auftrat. Andere Namen sind Blue Callisto, BlueCharlie (oder TAG-53), Calisto (manchmal als Callisto geschrieben), Gossamer Bear und TA446.
Laut Microsoft hat „Star Blizzard“ Verbindungen zum russischen Föderalen Sicherheitsdienst (FSB). Die Gruppe greift weiter Einzelpersonen und Organisationen an, die in Angelegenheiten rund um die Ukraine involviert sind. Dies beinhaltet auch akademische Einrichtungen, Sicherheitsunternehmen und andere, die den Interessen Russlands entsprechen.
Die Gruppe hat erfolgreich Fake-Domains eingerichtet, die sich als Anmeldeseiten von Zielunternehmen ausgeben. Diese Aktivitäten sind seit mindestens 2017 bekannt. Im August 2023 wurden durch Recorded Future 94 neue Domains identifiziert, die Teil der Angriffsinfrastruktur dieser Bedrohung sind und hauptsächlich Begriffe aus den Bereichen Informationstechnologie und Kryptowährung enthalten.
Seit April 2023 verwendet der Angreifer serverseitige Skripte, um automatisches Scannen zu verhindern. Dabei wird hCaptcha ersetzt und die Browsersitzung auf einen Server namens Evilginx umgeleitet. Der eingesetzte JavaScript-Code prüft im Browser die Installation von Plugins sowie die Nutzung von Automatisierungstools wie Selenium oder PhantomJS und sendet die Ergebnisse an den Server.
Microsoft berichtet, dass der Umleitungsserver nach Erhalt der Daten entscheidet, ob eine weitere Umleitung erlaubt wird. Wenn dies der Fall ist, erfolgt entweder eine hCaptcha-Aufforderung für den Benutzer oder eine direkte Umleitung zum Evilginx-Server, der für das Sammeln von Anmeldeinformationen eingesetzt wird. Zudem nutzt die Gruppe E-Mail-Marketingdienste wie HubSpot und MailerLite, um Kampagnen zu starten, die auf den Evilginx-Server umleiten.
Darüber hinaus nutzt der Angreifer einen DNS-Anbieter, um die registrierte Domain-Infrastruktur aufzulösen und versendet passwortgeschützte PDF-Dateien über Proton Drive, um E-Mail-Sicherheitsmaßnahmen zu umgehen.
Es wurde beobachtet, dass Star Blizzard seinen Domain-Generierungsalgorithmus aktualisiert hat, um zufällige Domain-Namen zu erzeugen. Trotz dieser Änderungen konzentrieren sich die Angriffe weiterhin auf den Diebstahl von E-Mail-Anmeldedaten, insbesondere bei Cloud-basierten E-Mail-Anbietern für persönliche und organisatorische Konten.
Star Blizzard verwendet dedizierter VPS-Paare, um die von der Gruppe kontrollierte Infrastruktur für Spearphishing-Aktivitäten zu hosten. Jeder Server beherbergt in der Regel eine separate, von den Tätern registrierte Domain.
Großbritannien und die USA sanktionieren zwei Mitglieder von Star Blizzard
Die Situation entstand zu dem Zeitpunkt, als das Vereinigte Königreich Star Blizzard wegen fortgesetzter, erfolgloser Versuche anklagte, sich durch Cyberangriffe in politische Angelegenheiten des Landes einzumischen. Diese Angriffe zielten auf wichtige Personen und Institutionen ab.
Die britische Regierung verknüpft Star Blizzard nicht nur mit „Zentrum 18“, einem Teil des FSB, sondern verhängte auch Sanktionen gegen zwei Mitglieder der Hackergruppe: Ruslan Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets (auch bekannt als Alexey Doguzhiev). Die Sanktionen wurden aufgrund ihrer Beteiligung an Spearphishing-Kampagnen verhängt. Diese Kampagnen führten zu unerlaubtem Zugriff auf sensible Daten und deren Diebstahl mit dem Ziel, britische Organisationen und die Regierung zu schwächen.
Zudem wiesen die Geheimdienste der „Five Eyes“ – eine Allianz bestehend aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den USA – auf das Muster des Bedrohungsakteurs hin. Dieser gab sich als vertrauenswürdiger E-Mail-Kontakt aus, erstellte gefälschte Profile in sozialen Medien und richtete bösartige Domains ein, die wie legitime Organisationen aussahen.
Vor den Spear-Phishing-Angriffen gibt es eine Phase, in der die Zielpersonen unter die Lupe genommen werden. Anschließend werden sie über ihre persönlichen E-Mail-Adressen kontaktiert, um Sicherheitskontrollen zu umgehen und eine Beziehung aufzubauen. Das Ziel ist es, Links zu übermitteln, die wie echte Anmeldeseiten aussehen.
Warnung vor E-Mails @protonmail.com, @proton.me
Microsoft warnt vor E-Mails, die von Absendern mit Proton-Konto (@proton.me, @protonmail.com) stammen, da diese oft von Star Blizzard verwendet werden könnten. Die Anmeldedaten, die auf diesen gefälschten Seiten eingegeben werden, werden erfasst und genutzt, um auf E-Mails, Anhänge und Kontaktlisten der Opfer zuzugreifen. Diese Informationen dienen dann dazu, weitere Phishing-Angriffe über die gehackten Konten zu starten.
Laut einer Anklageschrift des US-Justizministeriums nutzten Peretyatko und Korinets gefälschte E-Mail-Konten, um Nachrichten zu verschicken, die so aussahen, als kämen sie von E-Mail-Anbietern. Dabei wurden die Empfänger dazu verleitet, ihre E-Mail-Kontodaten bei gefälschten Anmeldeseiten preiszugeben.
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums beschuldigte den FSB, in lang andauernde Hack-and-Leak-Operationen verwickelt zu sein, die darauf abzielen, die Berichterstattung in den Zielländern zu beeinflussen und die strategischen Interessen Russlands zu fördern. Korinets wird konkret beschuldigt, zwischen 2016 und 2020 mindestens 39 gefälschte Domains für Phishing-Kampagnen eingerichtet zu haben, während Peretyatko 2017 betrügerische E-Mails verschickt haben soll, um Opfer auf bösartige Domains von Korinets umzuleiten.
Belohnung für Hinweise
Trotz Sanktionen des US-Außenministeriums wurde im Rahmen des Rewards for Justice (RFJ)-Programms eine Belohnung von 10 Millionen Dollar für Informationen angekündigt, die zur Identifizierung der Mitglieder von Star Blizzard und ihren Aktivitäten führen könnten.
Adam Meyers, Leiter der Abteilung Counter Adversary Operations bei CrowdStrike, sagte, dass der Bedrohungsakteur zunächst auf Regierungen, Militär, Denkfabriken und Medien abzielte, insbesondere auf Organisationen mit Verbindungen zur Ukraine, um Anmeldedaten zu sammeln. Seit 2016 konzentriert sich der Angreifer auf britische Regierungsorganisationen. Vor Kurzem nutzte Gossamer Bear wahrscheinlich ein pro-russisches Medienunternehmen, um die durch seine Sammelaktionen erhaltenen Informationen zu legitimieren.
Die russische Botschaft in Großbritannien nannte die Sanktionsblockade einen „sinnlosen Schritt“ und bezeichnete sie als Teil eines schlecht inszenierten Dramas. Präsident Wladimir Putin äußerte, dass westliche Eliten Sanktionen nutzen, um Konflikte in ganzen Regionen zu schüren, um ihrer abnehmenden Vorherrschaft entgegenzuwirken.