Em meados de novembro de 2024, a Microsoft Threat Intelligence detectou que o APT russo “Star Blizzard” enviou mensagens de “spear-phishing” aos seus alvos habituais, desta vez oferecendo a suposta oportunidade de aderir a um grupo no WhatsApp. Esta é a primeira vez que a Microsoft observou uma alteração nas tácticas, técnicas e procedimentos “Star Blizzard”, com um novo vetcor de acesso. Os alvos típicos deste grupo incluem indivíduos relacionados com o governo ou diplomacia (actuais e antigos), investigadores de política de defesa ou relações internacionais com foco na Rússia e organizações que apoiam a Ucrânia na guerra contra a Rússia.

Desde 3 de outubro de 2024, a Microsoft e o Departamento de Justiça dos EUA desactivaram mais de 180 websites relacionados com as actividades deste APT. Apesar do impacto temporário nas operações do grupo, o “Star Blizzard” adaptou-se rapidamente, usando novos domínios para continuar os seus ataques.

Avalia-se que o recurso ao comprometimento de contas WhatsApp seja uma resposta à exposição dos seus métodos pela Microsoft e por outras organizações, incluindo agências nacionais de cibersegurança. Embora esta campanha pareça ter terminado em novembro, a alteração nas tácticas sugere que o grupo procura escapar à detecção.

Nesta nova campanha, o “Star Blizzard” utiliza pela primeira vez o WhatsApp, mantendo as características típicas do spear-phishing. O ataque inicia-se com um email que finge ser enviado por um funcionário do governo dos EUA e inclui um código QR alegadamente para aderir a um grupo sobre iniciativas de apoio a ONGs na Ucrânia. Este código QR está intencionalmente corrompido, encorajando os alvos a responderem ao e-mail. Após a resposta, o grupo envia outro e-mail com um link encurtado que redireciona para uma página maliciosa.

Ao seguirem as instruções desta página, os alvos podem inadvertidamente permitir que o grupo aceda às mensagens da sua conta WhatsApp, utilizando ferramentas de navegação para exportar dados.

Alertas para os cidadãos:
1. Cuidado com mensagens de e-mail suspeitas:
Desconfie de e-mails que pedem para responder ou interagir com links, especialmente se vierem de remetentes desconhecidos ou alegarem ser de organizações governamentais ou ONGs.
Evite clicar em códigos QR recebidos por e-mail ou que encontre em publicidade no meio público. Verifique a legitimidade directamente com a organização mencionada antes de interagir.
2. Proteja a sua conta WhatsApp:
Active a verificação em duas etapas (MFA) no WhatsApp. Isto adiciona uma camada extra de segurança, dificultando o acesso de atacantes à conta.
Nunca partilhe códigos de verificação ou informações sensíveis com terceiros, mesmo que pareçam confiáveis.
3. Evite sites de links encurtados desconhecidos:
Links encurtados podem redirecionar para páginas maliciosas. Use ferramentas ou sites como o https://www.browserling.com para expandir e verificar os links antes de clicar.
4. Actualize regularmente os dispositivos e Apps:
Certifique-se de que seu sistema, WhatsApp e outras Apps estão sempre actualizados com as versões mais recentes e patches de segurança.
5. Esteja atento ao spear-phishing:
Não confie em e-mails que solicitam ações imediatas ou apresentam ofertas tentadoras, especialmente relacionadas a temas sensíveis, como ajuda humanitária.

Propostas para o Governo Português:
1. Campanha Nacional de Sensibilização e Educação Digital:
Desenvolver campanhas para alertar os cidadãos, especialmente funcionários públicos e pessoas em cargos sensíveis, sobre os riscos de spear-phishing e os novos vetores de ataque em plataformas como o WhatsApp. Divulgar estas campanhas em meios de comunicação social.
No site do https://www.cncs.gov.pt/pt/cursos-e-learning/ aumentar a oferta de workshops regulares para promover boas práticas de segurança digital.
2. Parcerias com Plataformas de Comunicação:
Trabalhar com empresas como o WhatsApp para melhorar os sistemas de detecção de actividades maliciosas, incluindo a identificação de contas fraudulentas e campanhas de phishing.
3. Fortalecimento da Cibersegurança Nacional:
Criar uma unidade especializada no CNCS para monitorizar ameaças cibernéticas direccionadas a instituições governamentais e diplomáticas.
Implementar formações obrigatórias de cibersegurança para funcionários públicos e colaboradores de ONGs com foco na protecção de dados.
4. Legislação e Cooperação Internacional:
Introduzir legislação mais rígida para punir cibercriminosos que exploram
5. Criação de uma Linha Telefónica Gratuita de Apoio à Cibersegurança que seja um canal direto para cidadãos e empresas reportarem ataques de phishing ou atividades suspeitas, oferecendo suporte técnico imediato.
6. Auditorias Regulares em Infraestruturas Sensíveis:
Realizar auditorias obrigatória e anuais de segurança cibernética em instituições governamentais, câmaras municipais e ONGs que recebam financiamentos do Estado para identificar vulnerabilidades e implementar soluções preventivas.

Estas medidas poderiam reforçar a proteção de cidadãos e organizações em Portugal contra ciberataques sofisticados, como os perpetrados pelo grupo “Star Blizzard”.