Centrul de Threat Intelligence al companiei Microsoft (MSTIC) a documentat, iar apoi a luat măsurile necesare pentru oprirea campaniei de phising asociată grupării SEABORGIUM cu origini rusești.
MSTIC a urmărit activitatea SEABORGIUM încă din anul 2017, observând intersectarea obiectivelor Federației Ruse și a campaniilor efectuate de această grupare. Modul de lucru presupunea accesarea diferitelor baze de date, exfiltrarea datelor și expunerea acestora în mediul online (hack and leak), țintele fiind actori din state în care Rusia dorea să promoveze anumite narative (datele exfiltrate fiind baza acestor narative).
Principalele state vizate de atacatori au fost statele membre NATO, cu precădere SUA, Marea Britanie sau țările baltice. Atacurile au cunoscut o intensificare după izbucnirea conflictului din Ucraina, ceea ce a dus și la reorientarea țintelor și spre instituții guvurnamentale ale Ucrainei. În interiorul statelor vizate de grupare, principalele ținte au fost companiile sau organizațile care lucrează împreună cu statul în planificarea și derularea de acțiuni militare.
Modus operandi
Echipa de threat intelligence a companiei Microsoft a analizat modul de operare al acestei grupări, delimitând anumite etape pe care gruparea le efectua în desfășurarea atacului. Trebuie să avem în vedere că aceste etape nu sunt specifice pentru această grupare, ele fiind modalități de punere în practică a ingineriei sociale.
Stabilirea contactului
Premergător începerii unei campanii, membrii grupării efectuau procese detaliate de cunoaștere a țintelor vizate. Astfel, prin tehnici de OSINT și utilizarea platformelor de social-media, atacatorii colectau cât mai multe informații despre compania vizată, angajați și modalitatea de contactare.
Pentru contactare s-a observat utilizarea unor conturi fictive pe platforma LinkedIn, adrese de e-mail cu nume asemănătoare ale profilelor de LinkedIn sau chiar adrese de e-mail care încercau să impersoneze angajați ai companiei.
Livrarea conținutului malițios
Pentru realizarea atacului și obținerea de credențiale de acces, atacatorii foloseau pagini web prin care manipulau ținta să introducă datele dorite. Livrarea link-ului către pagina web era realizată prin intermediul serviciului e-mail, utilizând o formă prescurtată a link-ului. Tot prin accesarea unui link, erau utilizate fișiere PDF ca atașament care de fapt redirecționau victima spre site-ul capcană printr-un buton generat într-o fereastră de dialog.
Furtul de credențiale
Odată ce victima accesa link-ul trimis de atacatori, acesta era nevoită să își introducă datele de acces (nume de utilizator și parolă) pe un scam-page pregătit în funcție de aplicațiile pe care ținta le utilizează. Datele erau transmise către atacator, iar victima direcționată spre pagina sau documentul accesat inițial.
Ce impact are un astfel de eveniment?
După cum am spus, principalele ținte ale acestei grupări au fost state membre NATO și organizații din aceste state, între care există o colaborare în ceea ce privește dezvoltarea și operațiunile Alianței Nord-Atlantice.
Majoritatea datelor exfiltrate au fost raportate ca fiind e-mailuri între companii și organizații guvernamentale și în unele cazuri documente sau fișiere cu conținut sensibil.
Serviciul de email reprezintă în continuare elementul cel mai utilizat pentru penetrarea unei infrastructuri și iată că atacatorii reușesc să exploateze factorul uman dintr-o organizație țintă prin tehnici de inginerie socială care surprind uneori prin simplitatea lor.