O Reino Unido e aliados expõem grupo de hackers do FSB russo, sancionam membros
8 de Dezembro de 2023

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e a Microsoft alertam que o ator apoiado pelo Estado russo "Callisto Group" (também conhecido como "Seaborgium" ou "Star Blizzard") está visando organizações em todo o mundo com campanhas de spear-phishing usadas para roubar credenciais e dados de contas.

Callisto é um ator de ameaça persistente avançada (APT) que está ativo desde o final de 2015 e foi atribuído à divisão 'Centre 18' da Rússia do Serviço de Segurança Federal (FSB).

No ano passado, os analistas de ameaças da Microsoft interromperam um ataque do grupo voltado para diversos países europeus da OTAN, desativando as contas da Microsoft do ator da ameaça utilizadas para vigilância e coleta de e-mails.

A Microsoft também relatou 69 domínios associados às suas campanhas de phishing para encerrar os sites.

Em janeiro deste ano, o NCSC alertou sobre os ataques de Callisto, destacando as habilidades de inteligência de código aberto (OSINT) e engenharia social do grupo.

Hoje, o Reino Unido atribui oficialmente ataques ao Callisto que levaram ao vazamento de documentos comerciais UK-EUA, ao hack de 2018 do think tank britânico Instituto para a Statecraft e, mais recentemente, ao hack do fundador da StateCraft, Christopher Donnelly.

Além disso, o Reino Unido afirma que o grupo está por trás de ataques de roubo de credenciais e dados contra parlamentares de vários partidos políticos, universidades, jornalistas, o setor público, organizações não governamentais e outras organizações da sociedade civil.

"O Foreign, Commonwealth and Development Office também convocou o Embaixador russo para expressar a profunda preocupação do Reino Unido com as tentativas persistentes da Rússia de usar ciber para interferir nos processos políticos e democráticos no Reino Unido e além", lê-se em um comunicado de imprensa do Reino Unido.

Em um boletim publicado hoje, o NCSC do Reino Unido afirma que Callisto continua focado em lançar ataques de spear-phishing visando organizações governamentais do país, think tanks, políticos, unidades da indústria de defesa e várias ONGs.

"Este aviso aumenta a conscientização sobre as técnicas de spear-phishing que Star Blizzard usa para atingir indivíduos e organizações.

Essa atividade está continuando até 2023", alerta o NCSC.

Os atacantes obtêm informações-chave de plataformas de mídia social como o LinkedIn e, em seguida, abordam seus alvos enviando e-mails para endereços pessoais que têm menos probabilidade de serem monitorados por software de segurança corporativa.

Após estabelecer um bom relacionamento com o alvo ao longo do tempo, Callisto envia um link malicioso incorporado em um documento PDF hospedado no Google Drive ou OneDrive, que leva o alvo a um site de phishing.

Os sites de phishing, hospedados em domínios ilegítimos, visam Microsoft, Yahoo e outras plataformas de e-mail e geralmente são protegidos por um CAPTCHA para eliminar bots e dar uma sensação de maior legitimidade.

A operação de phishing é respaldada pelo framework de ataque de proxy de código aberto EvilGinx que rouba tanto as credenciais do usuário quanto os cookies de sessão.

Isso permite que Callisto contorne a autenticação de dois fatores quando se conecta com as credenciais roubadas.

Em seguida, os invasores usam as informações roubadas para acessar a conta de e-mail da vítima, analisar sua caixa de entrada e configurar regras de encaminhamento que lhes dão acesso contínuo às futuras comunicações da vítima.

Nesta fase final, os operadores de Callisto identificam e se engajam em quaisquer oportunidades de phishing lateral, utilizando seu acesso à caixa de entrada da vítima para atingir outros alvos-chave.

A Microsoft também publicou hoje um relatório destacando as seguintes novas técnicas, táticas e procedimentos adotados pelo ator da ameaça após abril de 2023:

Uso de scripts do lado do servidor que bloqueiam a varredura automatizada da infraestrutura maliciosa.

Uso de serviços de plataforma de marketing por e-mail como HubSpot e MailerLite para mascarar endereços de e-mail verdadeiros.

Uso de provedor de DNS para mascarar os endereços IP da infraestrutura VPS.
Uso de algoritmo de geração de domínio (DGA) para melhor evasão e resistência a bloqueios.

A defesa contra a ameaça de Callisto e qualquer ataque de spear-phishing requer uma abordagem multifacetada, incluindo o uso de métodos de AFA resistentes a phishing como chaves de hardware, implementação de políticas de acesso condicional rigorosas e monitoramento de atividades anormais.

Um cumprimento internacional da lei composto por agências do Reino Unido, EUA, Austrália, Canadá e Nova Zelândia identificou dois membros do grupo de hacking Callisto.

Esses são Aleksandrovich Peretuatko, acreditado ser um oficial de inteligência do FBS Center 18, e Andrey Stanislavovich Korinets, também conhecido como "Alexey Doguzhiev".

Os dois são considerados diretamente responsáveis ​​pelas operações de Callisto visando várias organizações do Reino Unido, algumas resultando em acesso não autorizado e exfiltração de dados sensíveis.

Como parte do anúncio de hoje, tanto o Reino Unido quanto os EUA sancionaram os dois membros por tentativa de minar o processo democrático do Reino Unido.

O Departamento de Justiça dos EUA também indiciou os membros por "operações de influência maléfica destinadas a influenciar as eleições britânicas de 2019."

"O Reino Unido sancionou dois indivíduos por realizarem operações de spear-phishing com a intenção de usar as informações obtidas para minar os processos democráticos do Reino Unido", afirma um comunicado de imprensa do Departamento do Tesouro dos EUA.

"Os Estados Unidos, em apoio e solidariedade ao Reino Unido, também tomaram medidas contra os mesmos indivíduos, identificando sua conexão com a unidade FSB e sua atividade que tem como alvo as redes críticas do governo dos EUA."

O programa Rewards for Justice do governo dos EUA também oferece uma recompensa de 10 milhões de dólares por informações sobre os membros do grupo Callisto e suas atividades.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...