Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Operación Star Blizzard: Amenaza Cibernética Rusa

Escrito por Alexander Chapellin | Jan 30, 2024 3:00:00 PM

Dentro del dinámico panorama de amenazas cibernéticas en constante evolución, las estrategias de Star Blizzard se desarrollan con una meticulosidad que se asemeja a una orquestación estratégica. El Spear-phishing, en este contexto, representa una maniobra cuidadosamente planeada y ejecutada. Este grupo elusivo, que exhibe un nivel de sofisticación comparable al de expertos experimentados, selecciona de manera sistemática a individuos y grupos específicos como sus objetivos principales.

Al utilizar con destreza información diseñada para atraer a sus objetivos, Star Blizzard lleva a cabo los intrincados pasos de una campaña de phishing con el fin de identificar a aquellas personas que se cree que poseen acceso directo a información valiosa o que funcionan como la puerta de entrada a activos de gran interés. Este adversario de alta sofisticación ha dirigido sus ataques hacia instituciones específicas dentro de los ámbitos académico, de defensa, gubernamental, organizaciones no gubernamentales y grupos de expertos.

A medida que las tácticas inquietantes de Star Blizzard siguen evolucionando, la intrincada coreografía de la guerra cibernética revela una compleja interacción entre actores estatales, cada uno compitiendo por la supremacía en los siempre cambiantes escenarios del ciberespacio.

 

Conoce más sobre:  Ataques de Spear Phishing: ¿Cómo Reconocerlos?

 

¿Quién es Star Blizzard?

 


Star Blizzard, anteriormente conocido como SEABORGIUM y con varios alias alternativos como Callisto Group, TA446, COLDRIVER, TAG-53 y BlueCharlie, opera como una entidad de phishing respaldada directamente por el gobierno ruso desde 2019. Este grupo enigmático, que se asemeja a una entidad digital fantasma, emplea un enfoque altamente sofisticado que lo distingue en el campo de las amenazas cibernéticas.

El actor de amenazas Star Blizzard adopta un enfoque meticuloso, utilizando las redes sociales y las plataformas de redes para vigilar cuidadosamente a sus víctimas. Dedican tiempo a comprender a sus objetivos, creando cuentas de correo electrónico y perfiles de redes sociales falsos, llegando incluso a crear sitios web engañosos y enviar invitaciones falsas a eventos. Este minucioso trabajo preliminar les permite asumir convincentemente roles de contactos cercanos o expertos.

 

Te podrá interesar leer:  Takedown: La Defensa crucial contra el Phishing


¿Cómo opera Star Blizzard?


El grupo se basa principalmente en el envío de correos electrónicos de phishing a direcciones de correo electrónico personales, ocasionalmente aprovechando direcciones corporativas. Por lo tanto, esta táctica se ha convertido en una característica distintiva de sus operaciones, ya que les permite eludir los controles de seguridad en las redes corporativas.

La estrategia de Star Blizzard implica involucrar a las víctimas en conversaciones relacionadas con intereses comunes. Una vez que establecen una relación, introducen enlaces maliciosos de manera estratégica, a menudo camuflados como plataformas familiares como Google Drive o OneDrive.

 

Reconocimiento


Utilizando los recursos de información disponibles públicamente, Star Blizzard emplea técnicas de reconocimiento que implican la exploración de redes sociales y plataformas de redes profesionales. A través de este enfoque, el grupo de hackers identifica puntos de entrada para involucrar a sus objetivos, invirtiendo tiempo en estudiar sus intereses y discernir sus conexiones sociales o profesionales en el mundo real.

Con el fin de mantener un aire de autenticidad, Star Blizzard crea cuentas de correo electrónico que imitan a las de contactos reconocidos dentro del círculo del objetivo. Además, desarrollan perfiles en redes sociales y plataformas profesionales engañosos, a menudo haciéndose pasar por expertos de buena reputación. Se conoce que el grupo utiliza la apariencia de invitaciones a conferencias o eventos para atraer a sus objetivos a sus trampas.

En el primer contacto con las víctimas, Star Blizzard utiliza direcciones de correo electrónico de varios proveedores, como Outlook, Gmail, Yahoo y Proton Mail. Estas direcciones se seleccionan con cuidado para parecerse a las de contactos conocidos del objetivo o de figuras bien establecidas en el campo o sector específico del objetivo.

En un esfuerzo por mejorar aún más su credibilidad, los actores de amenazas se esfuerzan por crear dominios maliciosos que se asemejan mucho a las organizaciones legítimas, agregando una capa adicional de autenticidad a sus tácticas engañosas.

 

Conoce más sobre:  Redirecciones a Sitios Maliciosos: Métodos de Ataque en URLs


Evasión


Dado que su principal estrategia implica la infiltración a través de correos electrónicos de phishing, también adaptan sus tácticas de evasión de acuerdo con esta estrategia. Los actores optan deliberadamente por direcciones de correo electrónico personales como una medida estratégica para eludir las medidas de seguridad implementadas en las redes corporativas.


Tácticas para construir confianza


Star Blizzard invierte un esfuerzo considerable en investigar los intereses y conexiones de sus objetivos para desarrollar un enfoque que parezca auténtico. Luego, el grupo inicia el proceso de cultivar la confianza mediante un contacto inicial aparentemente inofensivo. Esta interacción inicial generalmente se centra en un tema cuidadosamente elegido para involucrar a los objetivos. Durante esta fase en particular, Star Blizzard se abstiene de participar en actividades maliciosas y se enfoca exclusivamente en establecer una relación sólida con sus objetivos.

Una vez que han asegurado que se ha establecido la relación necesaria, proceden a llevar a cabo sus ataques. Este método implica una correspondencia continua entre los atacantes y los objetivos, a veces abarcando un período prolongado para consolidar la relación.


Entrega


Después de haber generado con éxito la confianza, Star Blizzard utiliza técnicas de phishing estándar para compartir un enlace que aparentemente dirige al objetivo a un documento o sitio web de interés. Sin embargo, este enlace en realidad conduce a un servidor controlado por los atacantes, lo que obliga al objetivo a ingresar sus credenciales de cuenta.

Este enlace malicioso puede manifestarse como una URL incluida en un mensaje de correo electrónico, o el atacante puede insertar un enlace dentro de un documento alojado en plataformas como OneDrive, Google Drive u otros servicios de intercambio de archivos.

En sus esfuerzos de phishing, Star Blizzard utiliza el marco de código abierto EvilGinx, lo que les permite recopilar credenciales y cookies de sesión. Este uso estratégico de EvilGinx resulta efectivo para eludir las medidas de protección de autenticación de dos factores.

 


Explotación


Independientemente del método de entrega elegido, cuando el objetivo hace clic en la URL maliciosa, es redirigido a un servidor controlado por Star Blizzard. Este servidor replica la página de inicio de sesión de un servicio legítimo. Cualquier credencial ingresada en esta página engañosa queda comprometida en esta etapa.

Posteriormente, Star Blizzard utiliza las credenciales obtenidas para acceder de manera no autorizada a la cuenta de correo electrónico del objetivo.

Los actores también han utilizado su acceso a la cuenta de correo electrónico de la víctima para extraer datos de la lista de correos y la lista de contactos de la víctima. Esta información adquirida se utiliza luego para actividades específicas adicionales. Además, Star Blizzard ha empleado cuentas de correo electrónico comprometidas en campañas de phishing extendidas.

 

Podría interesarte leer:  5 Tácticas Anti-Relleno de Credenciales


Conclusión


Star Blizzard se presenta como un formidable adversario cibernético que emplea una estrategia sofisticada de phishing para apuntar de manera selectiva a diversos sectores y geografías. Con un enfoque particular en los países de la OTAN, especialmente en Estados Unidos y el Reino Unido, y un interés reactivo en Ucrania durante eventos geopolíticos, la amplia gama de objetivos del actor de amenazas incluye empresas de defensa, ONG, organizaciones gubernamentales, grupos de expertos e individuos con conocimientos sobre asuntos rusos.

La vigilancia es esencial para aquellos que han sido previamente blanco de estos ataques, ya que comprender las tácticas de Star Blizzard es crucial para fortalecer las defensas contra sus persistentes amenazas cibernéticas. 

La Operación Star Blizzard es un claro ejemplo de las sofisticadas amenazas cibernéticas que enfrentan las organizaciones hoy en día. Comprender su naturaleza y tomar medidas proactivas para fortalecer la seguridad cibernética es esencial. A medida que el panorama de amenazas continúa evolucionando, es crucial mantenerse informado y preparado para enfrentar estos desafíos.