Nel panorama della sicurezza informatica globale, la minaccia di attori cyber malintenzionati è una realtà costante e, recentemente, l’agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity (CISA), in coordinamento con partner internazionali, ha rilasciato un avviso congiunto riguardante le attività del gruppo di attori cyber basato in Russia, noto come Star Blizzard.
Tattiche e Tecniche di Star Blizzard
Il gruppo Star Blizzard è noto per le sue campagne di spear-phishing a livello mondiale. Le tecniche utilizzate da questo gruppo includono:
- Impersonare account email di contatti noti,
- Creare falsi profili sui social media,
- Utilizzare indirizzi di posta elettronica webmail di fornitori come Outlook, Gmail e altri,
- Creare domini maligni che assomigliano a organizzazioni legittime.
Queste tattiche sono mirate a individui e organizzazioni, sfruttando la fiducia e la familiarità per ingannare le vittime e ottenere accesso non autorizzato a informazioni sensibili o sistemi di rete.
Star Blizzard, attivo almeno dal 2019, ha storicamente preso di mira l’accademia, le organizzazioni governative e di difesa, ONG, think tank e politici. Tuttavia, a partire dal 2022, il gruppo ha iniziato a sondare anche obiettivi nel settore difesa-industriale e le strutture del Dipartimento dell’Energia degli Stati Uniti. Questo gruppo, noto anche come Callisto Group/TA446/COLDRIVER/TAG-53/BlueCharlie, è “quasi certamente subordinato al Centro 18 del Servizio Federale di Sicurezza (FSB) russo”.
Obiettivi e Implicazioni
Oltre agli obiettivi tradizionali, Star Blizzard ha esteso il suo focus alle infrastrutture critiche coinvolte nella produzione e distribuzione di energia, operazioni di infrastrutture di pipeline e trasporto di materiali, personale e aereo. L’uso di tecniche di phishing sofisticate indica che gli obiettivi sono di significativo valore e suggerisce che l’accesso e le informazioni esistenti per quel bersaglio erano insufficienti al momento.
Tattiche, Tecniche e Procedure (TTP)
Star Blizzard utilizza vari indirizzi email basati sul web per stabilire il primo contatto, inclusi Outlook, Gmail, Yahoo! e Proton, e spesso impersona qualcuno che la vittima conosce o figure note del settore. Una volta stabilita la fiducia, gli operatori di Star Blizzard inviano un link dannoso a un sito web o documento falso utilizzato per raccogliere le credenziali della vittima. L’accesso ai contatti delle vittime è un altro obiettivo, poiché ciò fornisce al gruppo ulteriori bersagli per le loro campagne di phishing.
Risposta Internazionale e Prevenzione
Le agenzie che hanno emesso congiuntamente l’allerta includono il National Cyber Security Centre (NCSC) del Regno Unito, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, l’FBI, la National Security Agency (NSA), la Cyber National Mission Force (CNMF), l’Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), il Canadian Centre for Cyber Security (CCCS) e il New Zealand National Cyber Security Centre (NCSC-NZ). Queste agenzie sottolineano l’importanza di rafforzare le misure di sicurezza e sensibilizzare sulle tattiche utilizzate da questi attori cyber.
Raccomandazioni di CISA
CISA incoraggia i difensori di rete e le organizzazioni di infrastrutture critiche a rivedere l’avviso congiunto per migliorare la loro postura di sicurezza e proteggersi da sfruttamenti simili basati sull’attività degli attori cyber. Inoltre, CISA esorta i produttori di software a incorporare principi di sicurezza per design e per default nelle loro pratiche di sviluppo software, limitando l’impatto delle attività degli attori cyber.
Ulteriori Risorse e Guida
Per ulteriori orientamenti su come proteggersi dalle minacce più comuni e impattanti, è possibile visitare la pagina dei Cross-Sector Cybersecurity Performance Goals di CISA. Per maggiori informazioni sulla sicurezza per design, è disponibile la pagina Secure by Design di CISA.