Nuevos informes tanto de la Unidad de Delitos Digitales de Microsoft como del Departamento de Justicia de EE.UU. exponen una operación disruptiva contra más de 100 servidores utilizados por «Star Blizzard», un actor de amenazas cibernéticas con sede en Rusia que se especializa en comprometer buzones de correo electrónico para filtrar contenido confidencial o interferir con el actividades del objetivo. ¿Quién es Star Blizzard? Star Blizzard también se conoce como Seaborgio, Callisto Group, TA446, Coldriver, TAG-53 o BlueCharlie. Según varias entidades gubernamentales de todo el mundo, Star Blizzard está subordinado al Centro 18 del Servicio Federal de Seguridad de Rusia (FSB). El actor de amenazas ha estado activo desde al menos finales de 2015, según un informe de la empresa de ciberseguridad F-Secure. El informe indicó que el grupo tenía como objetivo personal militar, funcionarios gubernamentales, grupos de expertos y periodistas en Europa y el sur del Cáucaso, con el interés principal de recopilar inteligencia relacionada con la política exterior y de seguridad en esas regiones. Según los informes: Desde 2019, Star Blizzard se ha dirigido a organizaciones gubernamentales y de defensa de EE. UU., así como a otras áreas como el sector académico o diferentes ONG y políticos. En 2022, el grupo se expandió y comenzó a apuntar a objetivos industriales de defensa, así como a instalaciones del Departamento de Energía de EE. UU. Desde enero de 2023, Microsoft ha identificado 82 objetivos diferentes para el actor de amenazas, a un ritmo de aproximadamente un ataque por semana. VER: Cómo crear un programa eficaz de concientización sobre la ciberseguridad (TechRepublic Premium) Modus opérandi Star Blizzard es conocido por configurar una infraestructura para lanzar ataques de phishing, a menudo dirigidos a las cuentas de correo electrónico personales de objetivos seleccionados. Estas cuentas suelen tener protecciones de seguridad más débiles que las cuentas de correo electrónico profesionales. Como afirmó el asesor general adjunto de Microsoft, Steven Masada, en un comunicado de prensa: “Star Blizzard es persistente. Estudian meticulosamente a sus objetivos y se hacen pasar por contactos de confianza para lograr sus objetivos”. Ejemplo de correo electrónico de phishing. Imagen: Microsoft Una vez que se explota la infraestructura, el actor de la amenaza puede cambiar rápidamente a una nueva infraestructura, lo que dificulta que los defensores detecten y bloqueen los dominios o direcciones IP utilizados. En particular, el grupo utiliza múltiples registradores para registrar nombres de dominio y aprovechar múltiples servicios de acortamiento de enlaces para redirigir a los usuarios a páginas de phishing operadas con el infame kit de phishing Evilginx. El grupo también utiliza redirectores abiertos de sitios web legítimos. Cadena de redireccionamiento mediante varios redirectores y servicios de acortamiento de enlaces. Imagen: Microsoft El actor de amenazas también ha utilizado versiones alteradas de plantillas de correo electrónico legítimas, como notificaciones de archivos compartidos de OneDrive. En este caso, el grupo utilizó direcciones de correo electrónico recién creadas destinadas a hacerse pasar por un remitente confiable para que fuera más probable que el destinatario abriera el correo electrónico de phishing. El correo electrónico contendría un enlace a un archivo PDF o DOCX modificado alojado en un servicio de almacenamiento en la nube, lo que en última instancia conduciría al kit de phishing Evilginx. Esto permitió a los atacantes ejecutar un ataque de intermediario capaz de eludir la autenticación multifactor. Cobertura de seguridad de lectura obligada Interrupción masiva El Departamento de Justicia anunció la incautación de 41 dominios de Internet y servidores proxy adicionales utilizados por el actor de amenazas ruso, mientras que una acción civil coordinada de Microsoft restringió 66 dominios adicionales utilizados por el actor de amenazas. Los dominios fueron utilizados por el actor de amenazas para ejecutar ataques de phishing dirigidos a comprometer sistemas o buzones de correo electrónico específicos, con fines de ciberespionaje. Se espera que Star Blizzard reconstruya rápidamente una infraestructura para sus actividades fraudulentas. Sin embargo, Microsoft informa que la operación de interrupción afecta las actividades del actor de amenazas en un momento crítico, cuando la interferencia extranjera en los procesos democráticos estadounidenses está en su punto más alto. También permitirá a Microsoft alterar cualquier infraestructura nueva más rápidamente a través de un procedimiento judicial existente. ¿Quieres protección contra esta amenaza? Educa y capacita a tu personal. Para evitar Star Blizzard, los informes sugieren que las organizaciones deberían: Los correos electrónicos de phishing del actor de amenazas parecen provenir de contactos conocidos de los que los usuarios u organizaciones esperan recibir correos electrónicos. La dirección del remitente podría ser de cualquier proveedor de correo electrónico gratuito, pero se debe prestar especial atención a los correos electrónicos recibidos de los remitentes de cuentas de Proton, ya que el actor de amenazas ha utilizado con frecuencia ese proveedor de correo electrónico en el pasado. En caso de duda, los usuarios no deben hacer clic en un enlace. En su lugar, deben informar el correo electrónico sospechoso a su personal de seguridad o de TI para su análisis. Para lograr esto, los usuarios deben recibir educación y capacitación para detectar intentos de phishing. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
