Trong ngữ cảnh: Ra đời với tư cách là cơ quan kế thừa KGB của Liên Xô, Cơ quan An ninh Liên bang Liên bang Nga (FSB) là cơ quan chính của Điện Kremlin về phản gián và an ninh. FSB cũng là đơn vị tham gia chiến tranh mạng rất tích cực, với nhiều đơn vị khác nhau tập trung vào nhiều mục tiêu bên ngoài, bao gồm nhiều nền dân chủ phương Tây.
Chính quyền Vương quốc Anh và Hoa Kỳ đang vạch trần các hoạt động rắc rối của nhóm mối đe dọa dai dẳng nâng cao (APT) do FSB tài trợ, một nhóm được các công ty bảo mật như Star Blizzard, Callisto Group hoặc Seaborgium theo dõi. Nhóm này đã tích cực tìm cách can thiệp vào tiến trình chính trị ở Anh và các quốc gia khác trong nhiều năm, sử dụng các kỹ thuật tấn công và lẩn tránh phức tạp mà Microsoft Security cũng trình bày chi tiết.
Trung tâm 18, bộ phận FSB có khả năng liên quan đến nhóm Callisto ATP, đang phải chịu trách nhiệm về một loạt hoạt động gián điệp mạng nhằm vào các cá nhân cấp cao. Theo Trung tâm An ninh Mạng Quốc gia (NCSC) của Vương quốc Anh, Center 18 đã hợp tác với Callisto/Star Blizzard trong nhiều năm để nhắm mục tiêu vào các tài khoản webmail được chính phủ, quân đội và các tổ chức truyền thông sử dụng. Các chiến dịch lừa đảo trực tuyến của nhóm này đã hoạt động từ đầu năm 2019 và tiếp tục đến năm 2023.
Hoạt động gián điệp mạng điển hình của Star Blizzard khai thác các tài nguyên nguồn mở để tiến hành trinh sát trên các nền tảng truyền thông xã hội chuyên nghiệp, NCSC giải thích. Các đặc vụ FSB nghiên cứu rộng rãi các mục tiêu của họ, xác định các mối liên hệ xã hội hoặc nghề nghiệp trong thế giới thực. Sau đó, các tài khoản email mạo danh những liên hệ đó sẽ được tạo bằng hồ sơ mạng hoặc mạng xã hội giả mạo, cuối cùng được sử dụng để gửi tài liệu PDF độc hại được lưu trữ trên nền tảng đám mây hợp pháp.
Tệp PDF được thiết kế để chuyển hướng mục tiêu đến một trang web lừa đảo, nơi khung tấn công EvilGinx nguồn mở được sử dụng để đánh cắp cả thông tin đăng nhập của người dùng và cookie xác thực phiên. Điều này cho phép gián điệp Nga vượt qua các biện pháp bảo vệ an ninh nâng cao, chẳng hạn như xác thực hai yếu tố, đăng nhập vào tài khoản email của mục tiêu, lấy cắp dữ liệu và tài liệu, đồng thời thiết lập các quy tắc chuyển tiếp để truy cập liên tục vào thông tin liên lạc trong tương lai của mục tiêu.
Sau đó, nhóm có thể khai thác quyền truy cập bất hợp pháp của họ vào các tài khoản email bị xâm nhập để khám phá và xác định các mục tiêu thú vị khác. Theo Microsoft cuộc điều tra mới nhấtnhóm hiện đang sử dụng các kỹ thuật ngày càng phức tạp để trốn tránh nhận dạng, bao gồm các tập lệnh phía máy chủ để ngăn chặn quá trình quét tự động cơ sở hạ tầng do tác nhân kiểm soát, sử dụng các dịch vụ nền tảng tiếp thị qua email để che giấu người gửi email thực sự, nhà cung cấp DNS che IP, v.v.
Chính quyền Vương quốc Anh cho biết Star Blizzard và các đơn vị gián điệp mạng khác của FSB đã dính líu đến một số vụ việc cấp cao trong suốt những năm qua. ghi nhận. Các đặc vụ Nga đã cố gắng tấn công các đại diện chính trị bằng các cuộc tấn công lừa đảo trực tuyến kể từ năm 2015, vi phạm các tài liệu bầu cử và nhắm mục tiêu vào các trường đại học, nhà báo, khu vực công và các tổ chức phi chính phủ (NGO) đóng vai trò quan trọng trong nền dân chủ Vương quốc Anh.
Hiện chính quyền Anh và Mỹ đã tiết lộ danh tính của hai cá nhân có liên quan đến các hoạt động lừa đảo nói trên: sĩ quan FSB Ruslan Aleksandrovich Peretyatko và “nhân viên CNTT” Andrey Stanislavovich Korinets.
Hai điệp viên này có thể chịu trách nhiệm về các hoạt động APT của Callisto chống lại các tổ chức của Vương quốc Anh, với “những nỗ lực không thành công” dẫn đến một số tài liệu bị rò rỉ. Peretyatko và Korinets đã bị Anh và Mỹ trừng phạt, đồng thời chương trình Phần thưởng cho Công lý (RFJ) của Bộ Ngoại giao Hoa Kỳ hiện đang treo giải thưởng lên tới 10 triệu USD cho những thông tin bổ sung hữu ích trong việc xác định vị trí của Peretyatko, Korinets hoặc các thành viên khác của nhóm. Nhóm Callisto.