Void Blizzard működése
A Ctrl-Alt-Intel kutatása, kiszivárgott információk és infrastruktúra-elemzés alapján új részleteket tárt fel a Void Blizzard – más néven Laundry Bear – orosz kiberkémkedő csoport működéséről. A kutatók a műveletek egyik kulcsszereplőjeként azonosították a 36 éves orosz Denis Obrezkót, akit az Egyesült Államok már korábban megvádolt azzal, hogy a csoport számára szervereket, domaineket és egyéb infrastruktúrát szerzett be.
Az elemzés szerint Obrezko nem egyszerű technikai támogató volt, hanem aktív szerepet játszott a műveleti infrastruktúra kiépítésében, amelyet NATO-tagállamok, ukrán szervezetek, kormányzati intézmények és vállalatok elleni kiberkémkedési kampányokhoz használtak. A kutatás több digitális nyom – köztük domainregisztrációk, kriptovaluta-tranzakciók, e-mail-címek és közösségi profilok – összekapcsolásával mutatja be, hogyan vezethető vissza egy állami hátterű kiberművelet konkrét személyekhez.
A jelentés megerősíti a Microsoft korábbi megállapítását is, miszerint a Void Blizzard technikailag nem a legfejlettebb orosz csoportok közé tartozik, mégis rendkívül eredményes. A szereplők elsősorban ellopott hitelesítő adatokat, adathalász kampányokat és legitim felhőszolgáltatásokat használnak nagymennyiségű e-mail és dokumentum megszerzésére, miközben saját infrastruktúrájukat igyekeznek folyamatosan cserélni és elrejteni.
A modern fenyegetés felderítésben az OSINT, a pénzügyi nyomok és az infrastruktúra-elemzés együttes alkalmazása már nemcsak kampányok azonosítására alkalmas, hanem az állami kiberműveletekben részt vevő operátorok személyazonosságának feltárását is lehetővé teszi.