Acteur de la menace Star Blizzard
L'acteur russe de cybermenace connu sous le nom de Star Blizzard a été associé à une nouvelle campagne de spear-phishing ciblant les comptes WhatsApp de ses victimes. Il s'agit d'un changement par rapport à ses tactiques habituelles, probablement destinées à échapper à la détection et à maintenir ses opérations sous une surveillance accrue.
Table des matières
Des cibles de premier plan au sein du gouvernement et de la diplomatie
Star Blizzard cible principalement les personnes liées au gouvernement et à la diplomatie, y compris les fonctionnaires actuels et anciens. Il cible également les chercheurs spécialisés dans la politique de défense et les relations internationales, en particulier ceux dont le travail concerne la Russie. Un autre groupe clé dans sa ligne de mire est celui des individus et des organisations qui aident l'Ukraine dans le conflit en cours avec la Russie.
Le tristement célèbre Star Blizzard : une menace persistante
Connu auparavant sous le nom de SEABORGIUM, Star Blizzard a une longue histoire d'activités informatiques remontant au moins à 2012. Il opère sous plusieurs pseudonymes, dont Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 et UNC4057. Ce groupe est connu pour ses campagnes de collecte d'identifiants, généralement exécutées par le biais d'e-mails de spear-phishing conçus pour voler des identifiants de connexion sensibles.
Une histoire de tactiques trompeuses
Star Blizzard a traditionnellement recours à des e-mails de phishing envoyés à partir de comptes ProtonMail, intégrant des liens malveillants dans des documents pour inciter les victimes à fournir leurs identifiants. Ces attaques utilisent souvent des pages optimisées par Evilginx pour contourner les mesures de sécurité de l'authentification à deux facteurs (2FA) grâce à une technique d'adversaire du milieu (AiTM). Le groupe a également exploité des plateformes de marketing par e-mail telles que HubSpot et MailerLite pour masquer les informations de l'expéditeur et contourner les filtres de sécurité.
Perturbations et adaptations
Les efforts visant à freiner les activités de Star Blizzard ont pris de l’ampleur à la fin de l’année dernière, lorsque Microsoft et le ministère américain de la Justice (DoJ) ont saisi plus de 180 domaines liés au groupe. Ces domaines avaient été activement utilisés pour cibler des journalistes, des groupes de réflexion et des ONG entre janvier 2023 et août 2024. La visibilité accrue de ces opérations auprès du public a peut-être forcé le groupe à ajuster ses tactiques, ce qui a conduit à la récente campagne axée sur WhatsApp.
Le système de phishing de WhatsApp dévoilé
La dernière campagne en date débute par un e-mail de spear-phishing se faisant passer pour un message provenant d’un responsable du gouvernement américain. Cette approche trompeuse ajoute de la crédibilité et augmente la probabilité d’engagement de la cible. L’e-mail contient un code QR, invitant prétendument les destinataires à rejoindre un groupe WhatsApp dédié au soutien des ONG ukrainiennes. Cependant, le code est délibérément brisé, ce qui incite la victime à répondre.
Une tromperie en plusieurs étapes
Après avoir reçu une réponse, Star Blizzard envoie un e-mail de suivi s'excusant du problème et fournissant un lien raccourci vers le groupe WhatsApp. En cliquant sur le lien, la cible est redirigée vers une page Web lui demandant de scanner un autre code QR. Cependant, au lieu d'accorder l'accès à un groupe légitime, ce code QR est un piège conçu pour exploiter la fonction de liaison de compte de WhatsApp, accordant aux attaquants un accès non autorisé aux messages et aux données.
Exploiter les fonctionnalités de WhatsApp
Les victimes qui suivent les instructions du site trompeur (« aerofluidthermo.org ») permettent sans le savoir à Star Blizzard d'infiltrer leurs comptes WhatsApp. Cette méthode permet aux attaquants d'exfiltrer des messages et d'autres données sensibles, potentiellement via des extensions de navigateur.
Mesures de précaution pour les personnes à risque
Les personnes travaillant dans le gouvernement, la diplomatie, la politique de défense ou les relations internationales, en particulier celles qui ont des liens avec l’Ukraine, doivent rester vigilantes lorsqu’elles traitent des e-mails contenant des liens vers des sources externes. Il est essentiel de vérifier l’authenticité des messages inattendus avant de cliquer sur les liens ou de scanner les codes QR pour éviter toute compromission.
Une cybermenace persistante et évolutive
Cette dernière campagne met en évidence la capacité d'adaptation et la détermination de Star Blizzard à poursuivre ses opérations de spear-phishing malgré des échecs répétés. En optant pour le phishing via WhatsApp, le groupe démontre sa capacité à faire évoluer ses tactiques, soulignant la nécessité constante de sensibiliser les individus et les organisations ciblés à la cybersécurité et de prendre des mesures de protection.
