Федеральна служба безпеки російської федерації (ФСБ), створена як спадкоємиця КДБ Радянського Союзу, є головним органом Кремля у сфері контррозвідки та безпеки. ФСБ також є дуже активним учасником кібервійни, різні підрозділи якої зосереджені на численних зовнішніх цілях, в тому числі на багатьох західних демократіях.
Влада Великої Британії та США викрила небезпечну діяльність спонсорованої ФСБ групи постійних загроз (APT), яку відстежують такі охоронні компанії, як Star Blizzard, Callisto Group або Seaborgium. Протягом багатьох років ця група активно намагалася втручатися в політичний процес у Великобританії та інших країнах, використовуючи складні методи атак і ухилень, які також детально описані в Microsoft Security.
“Центр 18”, підрозділ ФСБ, ймовірно, пов’язаний з групою Callisto ATP, несе відповідальність за серію кібершпигунських операцій проти високопоставлених осіб. За даними Національного центру кібербезпеки Великої Британії (NCSC), “Центр 18” роками співпрацював з “Каллісто”/”Зоряною хуртовиною” для атак на поштові скриньки урядових, військових та медіа-організацій. Кампанії списоподібного фішингу розпочалися ще у 2019 році і продовжувалися до 2023 року.
Як пояснили в NCSC, типова кібершпигунська діяльність Star Blizzard використовує ресурси з відкритим вихідним кодом для проведення розвідки на професійних платформах соціальних мереж. Агенти ФСБ ретельно вивчають свої цілі, виявляючи реальні соціальні або професійні контакти. Потім створюються облікові записи електронної пошти, що видають себе за ці контакти, з фальшивими профілями в соціальних мережах, які в кінцевому підсумку використовуються для відправки шкідливого PDF-документа, розміщеного на легальних хмарних платформах.
PDF-файл призначений для перенаправлення жертви на фішинговий сайт, де використовується фреймворк атаки EvilGinx з відкритим вихідним кодом для викрадення облікових даних користувача та файлів cookie для аутентифікації сеансу. Це дозволяє російським шпигунам обходити передові засоби захисту, такі як двофакторна автентифікація, входити в поштову скриньку жертви, викрадати дані та документи, а також встановлювати правила переадресації для постійного доступу до майбутніх повідомлень жертви.
Потім група може використовувати свій незаконний доступ до скомпрометованих електронних скриньок для виявлення та ідентифікації інших цікавих цілей. Згідно з останнім розслідуванням Microsoft, угруповання використовує дедалі складніші методи для уникнення ідентифікації, зокрема скрипти на стороні сервера для запобігання автоматизованому скануванню підконтрольної акторам інфраструктури, використання сервісів платформи email-маркетингу для приховування справжніх відправників, маскування IP-адрес DNS-провайдерів тощо.
Британська влада зазначила, що Star Blizzard та інші підрозділи кібершпигунства ФСБ були причетні до кількох резонансних інцидентів протягом багатьох років. З 2015 року російські агенти намагалися зламати політичних представників за допомогою фішингових атак, порушували виборчу документацію, а також націлювалися на університети, журналістів, державний сектор і неурядові організації (НУО), які відіграють ключову роль у британській демократії.
Влада Великої Британії та США розкрила особи двох осіб, причетних до вищезгаданих фішингових атак: офіцера ФСБ руслана олександровича перетятька та “айтішника” андрія станіславовича корінця.
Ці двоє шпигунів, ймовірно, відповідальні за APT-операції Callisto проти британських організацій, “невдалі спроби” яких призвели до витоку деяких документів. перетятько і корінець потрапили під санкції Великобританії і США, а програма Державного департаменту США “Нагороди за правосуддя” (RFJ) наразі пропонує винагороду в розмірі до $10 млн за додаткову інформацію, корисну для встановлення місцезнаходження перетятька, корінця або інших членів групи “Каллісто”.
Читайте також: