İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve Microsoft, Rus devlet destekli aktör "Callisto Group" (aka "Seaborgium" veya "Yıldız Blizzard") dünya çapında kuruluşları hesap kimlik bilgileri ve verileri çalmak için kullanılan mızrak avı kampanyalarıyla hedeflediği konusunda uyarıyor .
Callisto, 2015'in sonlarından beri aktif olan ve Rusya'nın Federal Güvenlik Servisi'nin (FSB) 'Merkez 18' Bölümüne atfedilen gelişmiş bir Kalıcı Tehdit Oyuncusu (APT).
Geçen yıl, Microsoft'un tehdit analistleri, bir grubun, gözetim ve e -posta toplama için kullanılan tehdit oyuncusunun Microsoft hesaplarını devre dışı bırakarak çeşitli Avrupa NATO ülkelerini hedefleyen saldırısını bozdu. Microsoft ayrıca, siteleri kapatmak için kimlik avı kampanyalarıyla ilişkili 69 alan bildirdi.
Bu yılın Ocak ayında NCSC, Callisto'nun saldırıları konusunda uyardı ve grubun açık kaynaklı zekası (OSINT) ve sosyal mühendislik becerilerinin altını çizdi.
Bugün, Birleşik Krallık, Callisto'ya resmen saldırıları, İngiltere-ABD ticaret belgelerinin sızmasına, İngiltere'nin Statecraft Enstitüsü'nün 2018 hackine ve daha yakın zamanda Statecraft'ın kurucusu Christopher Donnelly'deki hack'e yol açtı.
Buna ek olarak İngiltere, grubun birden fazla siyasi partinin, üniversitelerin, gazetecilerin, kamu sektörü, sivil toplum kuruluşlarından ve diğer sivil toplum kuruluşlarından parlamenterlere yönelik kimlik ve veri hırsızlığı saldırılarının arkasında olduğunu söyledi.
İngiltere'den bir basın açıklamasında, "Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi, Rusya Büyükelçisini İngiltere'nin Rusya'nın İngiltere ve ötesindeki siyasi ve demokratik süreçlere müdahale etmek için siber kullanma girişimleri hakkındaki derin endişelerini ifade etmek için çağırdı."
Bugün yayınlanan bir bültende, İngiltere NCSC, Callisto'nun ülkenin hükümet örgütlerini, düşünce kuruluşlarını, politikacıları, savunma-endüstriyel birimlerini ve çeşitli STK'ları hedefleyen mızrak aktı saldırıları başlatmaya odaklandığını söylüyor.
NCSC, "Bu danışma, Star Blizzard'ın bireyleri ve organizasyonları hedeflemek için kullandığı mızrak aktı teknikleri hakkında farkındalık yaratıyor. Bu faaliyet 2023'e kadar devam ediyor."
Saldırganlar, LinkedIn gibi sosyal medya platformlarından önemli bilgileri kaynaştırır ve daha sonra kurumsal güvenlik yazılımı tarafından izlenmesi daha az olan kişisel adresleri e -postayla göndererek hedeflerine yaklaşırlar.
Zaman içinde hedefle uyum oluşturduktan sonra Callisto, Google Drive veya OneDrive'da barındırılan ve hedefi bir kimlik avı sitesine götüren bir PDF belgesine gömülü kötü niyetli bir bağlantı gönderir.
Yasadışı alan adlarında barındırılan kimlik avı siteleri, Microsoft, Yahoo ve diğer e -posta platformlarını hedefler ve genellikle botları filtrelemek ve ekstra meşruiyet duygusu vermek için bir captcha tarafından korunur.
Kimlik avı işlemi, hem kullanıcı kimlik bilgilerini hem de oturum çerezlerini çalan açık kaynaklı EvilGinx Proxy saldırı çerçevesi tarafından desteklenir. Bu, Callisto'nun çalınan kimlik bilgileriyle giriş yaparken iki faktörlü kimlik doğrulamasını atlamasına izin verir.
Daha sonra, saldırganlar kurbanın e -posta hesabına erişmek, gelen kutusunu analiz etmek ve kurbanın gelecekteki iletişimine sürekli erişim sağlayan yönlendirme kuralları ayarlamak için çalınan bilgileri kullanırlar.
Bu son aşamada, Callisto operatörleri, diğer kilit hedeflere ulaşmak için kurbanın gelen kutusuna erişimini kullanarak yanal kimlik avı fırsatlarını belirler ve bunlara katılırlar.
Microsoft ayrıca bugün Nisan 2023'ten sonra tehdit oyuncusu tarafından benimsenen aşağıdaki yeni teknikleri, taktikleri ve prosedürleri vurgulayan bir rapor yayınladı:
Callisto tehdidine ve herhangi bir mızrak aktı saldırısına karşı savunmak, donanım anahtarları gibi kimlik avlamaya dayanıklı MFA yöntemlerini kullanma, katı koşullu erişim politikaları uygulama ve anormal aktivite izlemesi de dahil olmak üzere çok yönlü bir yaklaşım gerektirir.
İngiltere, ABD, Avustralya, Kanada ve Yeni Zelanda ajanslarından oluşan uluslararası bir kolluk, Callisto Hacking Grubu'nun iki üyesini tanımlamıştır.
Bunlar FBS merkezi 18 istihbarat memuru olduğuna inanılan Aleksandrovich Peretuatko ve Andrey Stanislavovich Korinets, yani "Alexey Doguzhiev".
İkisi, birden fazla İngiltere kuruluşunu hedefleyen Callisto operasyonlarından doğrudan sorumlu olarak kabul edilir, bazıları ise hassas verilerin yetkisiz erişimine ve püskürtülmesine neden olur.
Bugünkü duyurunun bir parçası olarak, hem İngiltere hem de ABD, iki üyeyi İngiltere'nin demokratik sürecini zayıflatmaya çalıştığı için onayladılar. ABD Adalet Bakanlığı ayrıca üyeleri "İngiltere'nin 2019 seçimlerini etkilemek için tasarlanmış malign etki operasyonları" nı suçladı.
ABD Hazine Bakanlığı'ndan bir basın açıklaması yaptığı açıklamada, "Birleşik Krallık iki kişiyi, İngiltere demokratik süreçlerini zayıflatmak için elde edilen bilgileri kullanmak amacıyla mızrak kimlik avı operasyonlarına katılmak için onayladı."
Diyerek şöyle devam etti: "Birleşik Devletler, Birleşik Krallık'ı destekleyen ve dayanışma içinde, aynı bireylere karşı da harekete geçti, FSB birimiyle olan bağlantılarını ve bizi kritik hükümet ağlarını hedefleyen faaliyetlerini belirledi."
ABD hükümetinin Adalet için Ödülleri programı, Callisto'nun grup üyeleri ve faaliyetleri hakkında bilgi için 10 milyon dolarlık bir ödül sunuyor.
FSB, Ukrayna siber güçleri için çalışan Rus hacker'ları tutukladı
Avrupa Govt E-posta Sunucuları Roundcube Zero-Day Kullanarak Hacklendi
Rus askeri bilgisayar korsanları NATO Hızlı Reaksiyon Kolordusu
Rus hackerlar, değişim hesaplarını ele geçirmek için Outlook Hatası'nı sömürüyor
Microsoft, Nisan 2022'den bu yana Rus hackerlar tarafından kullanılan Outlook Zero Day'i düzeltiyor
Kaynak: Bleeping Computer