Rusya’nın devlet destekli bir tehdit aktörünün, ülkenin Ukrayna’ya karşı yürüttüğü savaş çabalarını desteklemeyi amaçlayan benzersiz bir siber kampanya yürüttüğü söyleniyor.
Microsoft Tehdit İstihbaratı araştırmacıları, Star Blizzard grubunun kısa bir süre önce diplomatlar, hükümet yetkilileri, savunma politikası veya uluslararası ilişkiler araştırmacıları ve Rusya-Ukrayna savaşı üzerinde herhangi bir kapasitede çalışan diğer kişilere ait WhatsApp hesaplarını ele geçirmek için kimlik avı yaptığının tespit edildiğini açıkladı. Kampanyanın 2024 yılının Kasım ayının ortalarında başladığı tahmin ediliyor ve Microsoft, tüm kullanıcıları e-postalarla, özellikle de harici kaynaklara bağlantılar içeren e-postalarla uğraşırken her zaman dikkatli olmaları konusunda uyardı.
Her şey QR koduyla başlıyor
Saldırı, bir ABD hükümet yetkilisini taklit eden bir e-postayla başlıyor. E-postadaki metin, Ukrayna STK’larını desteklemeyi amaçlayan son hükümet dışı girişimleri ele alıyor ve bu konuların görüşüldüğü özel bir WhatsApp grubu için bir QR kodu veriyor.
Araştırmacılar, QR kodunun geçersiz olduğunu ve bunun kurbanın kendisine ulaşıp yeni bir kod istemesini sağlamak için kasıtlı olarak yapılmış olabileceğini tahmin ediyorlar. Ardından gelen takip e-postası, ayrı bir QR koduna sahip bir web sitesine yönlendiren Güvenli Bağlantı ile sarılmış t[.]ly kısaltılmış bağlantısı veriyor. Ancak bu kod, WhatsApp hesabını saldırganların sahip olduğu ayrı bir cihaza bağlıyor.
Microsoft araştırmacıları, yazılarında “Bu, hedefin bu sayfadaki talimatları izlemesi durumunda, tehdit aktörünün WhatsApp hesabındaki mesajlara erişebileceği ve WhatsApp Web üzerinden erişilen bir hesaptan WhatsApp mesajlarını dışa aktarmak için tasarlanmış mevcut tarayıcı eklentilerini kullanarak bu verileri sızdırma yeteneğine sahip olabileceği anlamına geliyor” dedi.
Bu saldırı biçiminin nispeten yeni olduğunu belirten şirket, Star Blizzard’ın siber güvenlik topluluğu tarafından kapsamlı bir şekilde analiz edildikten sonra uyum sağlamak zorunda kalmış olabileceğini öneriyor. Araştırmacılar, “bu, Star Blizzard’ın uzun süredir uyguladığı taktik, teknik ve prosedürlerinde (TTP'ler) yeni bir erişim vektöründen yararlanmak için bir değişiklik tespit ettiğimiz ilk sefer” diyor.