Хакеры, связанные с российскими властями, атаковали аккаунты министров и чиновников правительств по всему миру, рассылая им электронные письма с приглашением присоединиться к группам пользователей в WhatsApp. Эта тактика знаменует собой новый подход хакерской группировки Star Blizzard, пишет The Guardian.
Национальный центр кибербезопасности Великобритании (NCSC) связывает Star Blizzard с ФСБ и обвиняет их в стремлении «подорвать доверие к политике в Великобритании и государствах-единомышленниках».
Согласно сообщению в блоге Microsoft, жертвы получают электронное письмо от злоумышленника, выдающего себя за представителя правительства США, побуждающее получателя просканировать QR-код, который дает злоумышленнику доступ к учетной записи WhatsApp чиновника. Код, вместо того чтобы предоставлять доступ к группе WhatsApp, подключает учетную запись к связанному устройству или веб-интерфейсу WhatsApp.
В письме предлагается присоединиться к группе по «последним неправительственным инициативам, направленным на поддержку украинских НПО». Помимо того, что целью кампании были министры и чиновники неназванных стран, с ее помощью пытались взломать аккаунты людей, которые занимаются вопросами дипломатии, оборонной политики и исследованиями международных отношений, связанными с Россией, а также работой по предоставлению помощи Украине в войне с Россией.
Microsoft заявила, что кампания в WhatsApp, по-видимому, была свернута в ноябре, но изменение тактики Star Blizzard подчеркнуло готовность группировки использовать целевой фишинг (то есть нацеливание писем с вредными ссылками на конкретных лиц или группы) для попытки получить доступ к конфиденциальной информации.
В 2023 году в NCSC заявляли, что Star Blizzard нацелилась на британских членов парламента, университеты и журналистов в попытке «вмешаться в политику и демократию Великобритании». Star Blizzard описывали как «почти наверняка подчиненную» 18-му центру ФСБ. В 2023 году Великобритания ввела санкции против двух членов Star Blizzard, включая офицера ФСБ.
Star Blizzard (по системе нейминга Microsoft) также известна как Callisto Group, Dancing Salome, SEABORGIUM, STAR BLIZZARD и TA446. В августе 2024 года Access Now и Citizen Lab опубликовали отчет о масштабной фишинговой атаке, жертвами которой стали российские, белорусские и украинские правозащитные организации, международные НПО, работающие в Восточной Европе, независимые СМИ, а также бывший посол США. Анализ охватывал две волны атаки: с 2022 по 2023 год и в 2024 году.
В апреле 2024 года принадлежащая Google компания Mandiant, специализирующаяся на кибербезопасности, опубликовала доклад о серии кибератак группы хакеров из ГРУ, известной как Sandworm или APT44.