The Guardian: Связанные с ФСБ хакеры пытаются взломать иностранных чиновников через WhatsApp

Эта тактика знаменует собой новый подход хакерской группировки Star Blizzard, пишет The Guardian, передает theins.ru

Национальный центр кибербезопасности Великобритании (NCSC) связывает Star Blizzard с ФСБ и обвиняет их в стремлении «подорвать доверие к политике в Великобритании и государствах-единомышленниках».

Согласно сообщению в блоге Microsoft, жертвы получают электронное письмо от злоумышленника, выдающего себя за представителя правительства США, побуждающее получателя просканировать QR-код, который дает злоумышленнику доступ к его учетной записи WhatsApp. Код, вместо того чтобы предоставлять доступ к группе WhatsApp, подключает учетную запись к связанному устройству или веб-интерфейсу WhatsApp.

В письме предлагается присоединиться к группе по «последним неправительственным инициативам, направленным на поддержку украинских НПО». Помимо того, что целью кампании были министры и чиновники неназванных стран, с помощью нее пытались взломать людей, которые занимаются вопросами дипломатии, оборонной политики и исследованиями международных отношений, связанными с Россией, а также работой по предоставлению помощи Украине в войне с Россией.

Microsoft заявила, что кампания в WhatsApp, по-видимому, была свернута в ноябре, но изменение тактики Star Blizzard подчеркнуло готовность группировки использовать целевой фишинг (то есть нацеливание писем с вредными ссылками на конкретных лиц или группы) для попытки получить доступ к конфиденциальной информации.

В 2023 году в NCSC заявляли, что Star Blizzard нацелилась на британских членов парламента, университеты и журналистов, в попытке «вмешаться в политику и демократию Великобритании». Star Blizzard описывались как «почти наверняка подчиненную» подразделению 18-му центру ФСБ. В 2023 году Великобритания ввела санкции против двух членов Star Blizzard, включая офицера ФСБ.

Star Blizzard (по системе нейминга Microsoft) также известна как Callisto Group, Dancing Salome, SEABORGIUM, STAR BLIZZARD и TA446. В августе 2024 года Access Now и Citizen Lab опубликовали отчет о масштабной фишинговой атаке, жертвами которой стали российские, белорусские и украинские правозащитные организации, международные НПО, работающие в Восточной Европе, независимые СМИ, а также бывший посол США. Анализ охватывал две волны атаки: с 2022 по 2023 год и в 2024 году.

В апреле 2024 года принадлежащая Google компания Mandiant, специализирующаяся на кибербезопасности, опубликовала доклад о серии кибератак группы хакеров из ГРУ, известной как Sandworm или APT44.