Hackerii ruși „le-au venit de hac” mai multor ONG-uri și instituții NATO. Cum au reușit asta, legătura cu Microsoft

Grupul de atacatori Void Blizzard, afiliat Rusiei, a vizat ONG-uri și instituții din NATO folosind tehnici de phishing avansate și instrumente precum Evilginx.

Microsoft a dezvăluit o nouă campanie de spionaj informatic, derulată de grupul rus Void Blizzard (cunoscut și ca Laundry Bear), activ cel puțin din aprilie 2024, scrie publicația The Hacker News.

Campania de spionaj cibernetic face victime în Europa și SUA

Atacatorii au folosit metode de tip phishing și acces neautorizat la infrastructura cloud pentru a sustrage volume mari de date din conturi de e-mail și fișiere stocate online, vizând cu precădere organizații din Europa și America de Nord.

Printre țintele principale se numără organizații guvernamentale, din domeniul apărării, transporturilor, media, sănătate și ONG-uri care au legătură cu interesele strategice ale Rusiei.

Activitatea grupului de hackeri ruși se concentrează asupra țărilor membre NATO și a celor care sprijină Ucraina, fie militar, fie umanitar.

Printre incidentele recente se numără compromiterea conturilor unor angajați ai unei organizații aviatice ucrainene în octombrie 2024.

Gruparea a mai utilizat și date furate anterior prin malware de tip info-stealer, provenite de pe piețele ilegale online, pentru a accesa platforme precum Exchange Online și SharePoint.

Tehnicile sunt sofisticate: phishing Evilginx și atacuri cu cookie-uri furate

O metodă frecvent utilizată de grupul de hackeri ruși Void Blizzard a fost trimiterea de e-mailuri de tip spear-phishing ce păreau provenite de la organizatori ai unui summit european pe teme de securitate.

Mesajele conțineau un fișier PDF cu o invitație falsă și un cod QR care redirecționa către un domeniu falsificator, „micsrosoftonline[.]com”, ce imita pagina de autentificare Microsoft Entra. În spatele acestei infrastructuri se afla un kit open-source Evilginx, folosit pentru atacuri adversary-in-the-middle.

După compromiterea conturilor, atacatorii foloseau Microsoft Graph și Exchange Online pentru a accesa conversații, fișiere și mesaje, inclusiv din Microsoft Teams, folosind procese automatizate de extragere în masă a datelor.

Microsoft spune că organizațiile compromise coincid cu cele vizate anterior de alte grupuri rusești, precum Forest Blizzard, Midnight Blizzard și Secret Blizzard, ceea ce indică o posibilă coordonare între acești actori în cadrul unui efort comun de colectare de informații.

În cadrul unui incident separat, autoritățile olandeze au confirmat că Void Blizzard este responsabil pentru compromiterea unui cont al unui angajat al poliției olandeze în septembrie 2024, folosind un atac de tip „pass-the-cookie”, care permite accesul fără parolă pe baza cookie-urilor de sesiune furate.