俄罗斯FSB被指控发起鱼叉式网络钓鱼攻击英美盟国

Star Blizzard威胁组织（前称SEABORGIUM）持续成功使用鱼叉式网络钓鱼攻击针对英国、美国及其他感兴趣地区的目标组织和个人，进行信息收集活动。根据多国政府发布的国际网络安全咨询报告，Star Blizzard（亦称为Callisto Group/TA446/COLDRIVER/TAG-53/BlueCharlie）几乎可以确定隶属于俄罗斯联邦安全局（FSB）第18中心。

自2019年以来，Star Blizzard已针对学术界、政府组织、非政府组织、智库和政治人士等多个领域。咨询报告指出，英国和美国的目标似乎受Star Blizzard活动影响最大，但在其他北约国家和俄罗斯邻国的目标中也观察到了相关活动。最近，Star Blizzard的活动似乎进一步扩大，包括国防工业目标以及美国能源部设施。

据天空新闻报道，英国外交部已召见俄罗斯大使，并对一名俄罗斯情报官员及Star Blizzard组织的另一名成员实施制裁。英国政府表示，这种恶意网络活动是试图干涉英国政治和民主进程的行为。

Star Blizzard进行侦察并冒充目标联系人

咨询报告指出，Star Blizzard利用开源资源（包括社交媒体和专业社交平台）进行侦察，识别与目标接触的切入点。“他们花时间研究目标的兴趣，识别其在现实世界中的社交或专业联系人。”

该威胁行为者创建冒充目标已知联系人的电子邮件账户，以使其看起来合法。“他们还创建冒充受尊敬专家的虚假社交媒体或社交网络个人资料，并使用虚假的会议或活动邀请作为诱饵。” Star Blizzard在初次接触时使用来自不同提供商的网络邮件地址，包括Outlook、Gmail、Yahoo和Proton mail。

针对个人邮箱的鱼叉式钓鱼攻击

政府表示，Star Blizzard主要向目标的个人电子邮件地址发送鱼叉式钓鱼邮件，尽管他们也使用过目标的公司或商务电子邮件地址。“攻击者可能故意使用个人电子邮件来规避企业网络上的安全控制。”

在研究了目标的兴趣和联系人以创建可信的接触方式后，Star Blizzard开始与潜在受害者建立信任。“他们通常首先就一个希望引起目标兴趣的话题建立良性联系。攻击者和目标之间通常会有一些通信，有时会持续较长时间，以建立融洽关系。”

一旦建立信任，攻击者使用典型的网络钓鱼手法分享一个链接，表面上指向感兴趣的文件或网站。这将目标引导至攻击者控制的服务器，提示目标输入账户凭据。“恶意链接可能是电子邮件中的URL，或者攻击者可能将链接嵌入到OneDrive、Google Drive或其他文件共享平台上的文档中。”

威胁行为者使用开源框架收集凭据和会话cookie

Star Blizzard使用开源框架EvilGinx收集凭据和会话cookie，成功绕过了双因素认证（2FA）的使用。一旦目标点击恶意URL，他们将被重定向到攻击者控制的服务器，该服务器镜像了合法服务的登录页面。此时输入的任何凭据都将被泄露。

“Star Blizzard随后使用被盗凭据登录目标的电子邮件账户，已知他们会访问并窃取受害者收件箱中的电子邮件和附件。他们还设置了邮件转发规则，使他们能够持续查看受害者的通信。”

此外，攻击者利用对受害者电子邮件账户的访问权限获取邮件列表数据和受害者的联系人列表，然后将其用于后续目标定位。他们还使用被入侵的电子邮件账户进行进一步的网络钓鱼活动。

咨询报告指出，多项缓解措施将有助于防御此类活动。这些措施包括：

• 使用多因素认证（MFA）减少密码泄露的影响
• 通过保持设备和网络更新来保护它们
• 启用电子邮件提供商的自动电子邮件扫描功能
• 禁用邮件转发功能

俄罗斯国家支持活动的揭露并不令人意外

网络安全公司ReliaQuest的高级网络威胁情报分析师Chris Morgan评论说，详细描述据称是俄罗斯国家支持的试图影响民主进程的揭露并不令人意外。“多年来，多个西方国家一直指责俄罗斯试图对其对手进行间谍活动，散布虚假信息，并以其他方式试图破坏民主进程。此类秘密活动还使俄罗斯能够提取敏感信息，在具有战略意义的组织系统中保持持久存在，并获取指导俄罗斯外交政策的情报。”

Morgan表示，对Star Blizzard的归因也并非意外。“该组织此前曾使用域名冒充来促进凭据窃取，同时定期轮换其基础设施以避免检测。尽管敏捷且复杂，但此类APT组织继续使用基本技术——主要是因为这些技术有效。”