.
Os ciberespiões do Serviço Federal de Segurança (FSB) da Rússia, juntamente com uma nova equipe de espionagem digital, têm conduzido uma enorme campanha de espionagem de phishing online contra alvos nos EUA e na Europa nos últimos dois anos, de acordo com o Citizen Lab da Universidade de Toronto.
Em uma pesquisa publicada na quarta-feira, o Citizen Lab atribuiu a campanha, chamada River of Phish, ao COLDRIVER apoiado pelo FSB (também conhecido como Star Blizzard, UNC4057 e Callisto), juntamente com um segundo grupo chamado COLDWASTREL.
A campanha começou em 2022 com o objetivo de roubar credenciais de usuários e tokens 2FA de figuras da oposição russa no exílio e funcionários de organizações não governamentais sediadas na Rússia, nos EUA e na Europa, bem como veículos de comunicação, think tanks dos EUA e ex-funcionários do governo.
Esses são os mesmos alvos que o COLDRIVER tem visado em campanhas de phishing desde pelo menos 2019, e os ciberespiões também tentaram repetidamente influenciar as eleições ocidentais ao longo dos anos.
Também a partir de 2022, o COLDRIVER começou a tentar invadir caixas de entrada de e-mail e redes pertencentes a alvos da indústria de defesa e instalações do Departamento de Energia dos EUA, de acordo com as nações do Five Eyes.
Com o River of Phish, ambos os grupos provavelmente escolheram seus alvos com base em suas “extensas redes entre comunidades sensíveis, como indivíduos de alto risco na Rússia”, de acordo com o Citizen Lab.
Os especialistas em spyware também alertaram que comprometer esses indivíduos “poderia resultar em consequências extremamente sérias, como prisão ou danos físicos a eles próprios ou a seus contatos”.
Além disso, os pesquisadores dizem suspeitar que os espiões russos tinham como alvo um grupo muito maior do que as organizações da sociedade civil que o Citizen Lab, trabalhando com o Access Now e as próprias organizações, investigou.
“Observamos funcionários do governo dos EUA sendo representados como parte desta campanha e, considerando os relatórios anteriores sobre a perseguição do COLDRIVER, esperamos que o governo dos EUA continue sendo um alvo”, de acordo com o relatório.
Também vale a pena notar que o Citizen Lab não encontrou nenhum spyware — ou malware em geral — nos dispositivos das vítimas como parte desta campanha.
“O foco no acesso à conta simplifica a infraestrutura de ataque necessária, pois os invasores não precisam ganhar persistência ou estabelecer comunicações contínuas com a máquina do alvo”, escreveram os pesquisadores.
No entanto, é extremamente provável que os indivíduos visados pelo River of Phish também enfrentem ameaças adicionais, incluindo spyware, acrescentou o Citizen Lab.
Esses ataques geralmente começam com uma troca de e-mails entre russos que se passam por colegas da vítima ou funcionários do governo dos EUA, segundo nos disseram.
As mensagens pedem que o destinatário revise um documento, mas os remetentes também frequentemente “esquecem” de anexar um PDF.
“Acreditamos que isso foi intencional e teve como objetivo aumentar a credibilidade da comunicação, reduzir o risco de detecção e selecionar apenas alvos que responderam à abordagem inicial (por exemplo, apontando a falta de um anexo)”, diz o relatório.
Quando o PDF chega à caixa de entrada do alvo, ele supostamente está criptografado pelo ProtonDrive, o que faz parte do estratagema, e então, ao ser aberto, exibe um texto borrado com um link para “descriptografar” o arquivo.
Se o alvo clicar no link, o navegador começa a se comunicar com o servidor do invasor e executa o código JavaScript para identificar o navegador da vítima, retornando a identificação ao servidor e decidindo como proceder — por exemplo, mostrando um CAPTCHA para a vítima antes de redirecioná-la para um site malicioso.
O Citizen Lab supõe que essa impressão digital tem como objetivo impedir que ferramentas automatizadas analisem a infraestrutura de segundo estágio, que inclui a página de phishing, onde os invasores roubam as credenciais e os tokens das vítimas.
Os pesquisadores atribuem esses ataques ao COLDRIVER com base nas táticas preferidas da equipe: usar especificamente spear phishing para atingir militares, autoridades governamentais, think tanks e a mídia, e personificar sites e endereços de e-mail legítimos para enganar seus alvos e fazê-los fornecer credenciais.
Além disso, eles observam que analistas de ameaças da Proofpoint compartilharam PDFs disponíveis publicamente do VirusTotal que a loja de segurança atribuiu ao COLDRIVER. E esses PDFs indicaram “múltiplas sobreposições críticas com a campanha River of Phish”.
COLDWASTREL nadando nos riachos de COLDRIVER
No entanto, alguns dos PDFs de isca diferiam de maneiras significativas daqueles originários das campanhas do COLDRIVER. Isso incluía a versão em PDF e o idioma. O COLDRIVER envia seus arquivos em inglês, enquanto o segundo grupo escreveu em russo.
Além disso, embora os PDFs do COLDRIVER afirmem vir de “nomes plausíveis, porém obscuros, em inglês”, alguns dos autores de PDF na campanha eram simplesmente “usuários”.
Além disso, o COLDRIVER, como fez em campanhas anteriores, redirecionou as vítimas para a impressão digital e, em seguida, para um domínio separado para roubar suas credenciais. Os PDFs que se acredita serem do COLDWASTREL, por outro lado, enviam as vítimas diretamente para um site que hospeda o kit de phishing.
“Embora não estejamos atribuindo esta campanha e tenhamos apenas um número limitado de alvos, notamos que a segmentação do COLDWASTREL que observamos parece estar alinhada com os interesses do governo russo”, disse o Citizen Lab. ®
.
