A kifinomult adathalász kampány Oroszország ellenségeit célozza
A The Citizen Lab az Access Now-val közösen végzett vizsgálata – amelyhez több további civil társadalmi szervezet, köztük a First Department, az Arjuna Team és a RESIDENT.ngo is hozzájárult – azonosította, hogy egy kifinomult spear phishing kampány több országban és a civil társadalom több szektorában is számos célpontot érint. A kifinomult spear phishing kampány célpontjai a nyugati és orosz civil társadalom egyaránt, akiktől személyre szabott és nagyon hihető social engineering módszerrel próbálnak hozzáférést szerezni online fiókjaikhoz.
A kampányt a COLDRIVER (más néven Star Blizzard, Callisto) csoporthoz kötik a jelentés szerzői. A COLDRIVER-T több kormány az orosz Szövetségi Biztonsági Szolgálatnak (FSB) tulajdonítja. A The Citizen Lab azonosított egy második, hasonló közösségeket célzó kiberszereplőt, akit COLDWASTREL-nek neveztek el. Megítélésük szerint ez a szereplő különbözik a COLDRIVER-től, és az általuk megfigyelt célzott támadás az orosz kormány érdekeinek felel meg.
A Citizen Lab megosztotta az összes jelzést a főbb e-mail szolgáltatókkal, hogy segítse őket a kampányok nyomon követésében és blokkolásában.
Az kutatók által megfigyelt leggyakoribb taktika az, hogy a kiberszereplő e-mail üzenetet kezdeményez a célponttal, és magát egy az áldozat által ismert személynek adja ki. Ez a taktika magában foglalja a kollégáknak, támogatóknak és amerikai kormányzati alkalmazottaknak való álcázást. Az üzenetek általában olyan szöveget tartalmaznak, amelyben a címzettet arra kérik, hogy vizsgáljon át egy, a munkájához kapcsolódó dokumentumot, például egy támogatási javaslatot vagy egy cikktervezetet. Néhány esetben megfigyelték a kutatók, hogy a kiberszereplő további kommunikációt is folytatott a célzott üzenetet megelőzően vagy azt követően. Ez a gyakran erősen és hatékonyan személyre szabott kommunikáció azt mutatja, hogy a kiberszereplők mennyire mélyen ismerik a célpontokat. Több célpont azt hitte, hogy valódi személlyel vált e-mailt. A kutatók emellett gyakran megfigyelték, hogy a támadó elmulasztotta a PDF-fájl csatolását a kezdeti üzenethez, amelyben a „csatolt” fájl felülvizsgálatát kérte. Úgy vélik, hogy ez szándékos volt, és célja a kommunikáció hitelességének növelése, a felderítés kockázatának csökkentése, valamint az, hogy csak olyan célpontokat válasszon, amelyek válaszoltak a kezdeti megkeresésre (pl. rámutatva a melléklet hiányára).
Az e-mail üzenet általában egy csatolt PDF-fájlt tartalmaz, amely állítólag titkosított vagy „védett”, például egy olyan, az adatvédelemre összpontosító online szolgáltatással, mint a ProtonDrive. Valójában ez csak egy csel. Megnyitáskor a PDF egy elmosódottnak tűnő szöveget jelenít meg egy linkkel együtt, amely a fájl „visszafejtésére” vagy a fájlhoz való hozzáférésre utal. A tényleges ProtonDrive-titkosítás lényegesen másképp néz ki, mint ez a folyamat, ami arra utal, hogy a támadók a biztonságos és titkosított dokumentummegosztás általános tájékozatlanságára támaszkodnak. Más esetekben az elmosódott PDF olyan szöveget tartalmaz, amely szerint az előnézet nem érhető el, ami ismét kattintásra ösztönöz. Míg a tipikus támadások PDF-re korlátozódtak, megfigyeltek néhány olyan esetet is, amikor a támadók egy dokumentummegosztásnak látszó e-mailt is küldtek, amelyben az adathalász linket közvetlenül az e-mail üzenetbe ágyazták be. Amikor az egyik ilyen esetben látszólag nem sikerült sikeres kompromittálást elérni, a támadók egy PDF-el próbálkoztak tovább. Néhány esetben a támadók több üzenetben is megkérdezték a célpontokat, hogy látták-e vagy „átnézték-e” az anyagot, ha nem adták meg a hitelesítő adataikat. Ez a megközelítés ismét arra utal, hogy a támadók nagymértékben összpontosítottak az egyes célpontokra.
