Eksperci Google ds. cyberbezpieczeństwa z Threat Analysis Group (TAG) zgłosili serię cyberataków zorganizowanych przez grupę hakerską Cold River, która ich zdaniem jest powiązana z rosyjskimi służbami wywiadowczymi. Ataki przeprowadzane są przy użyciu schematu phishingowego.
Cold River, znana również jako Callisto Group i Star Blizzard, prowadzi długoterminowe kampanie szpiegowskie przeciwko celom w krajach NATO, przede wszystkim w USA i Wielkiej Brytanii. Do celów zaliczają się wysokiej rangi osoby i organizacje zaangażowane w działalność międzynarodową i obronę. W ostatnich miesiącach Cold River wzmogło swoją aktywność.
Atak grupy przeprowadzany jest przy użyciu schematu phishingowego, który po raz pierwszy odnotowano w listopadzie 2022 r. Potencjalnej ofierze wysyłany jest dokument PDF udający artykuł będący przynętą, w sprawie którego nadawca rzekomo próbuje uzyskać informację zwrotną. Ofiara otwiera łagodny plik PDF, którego tekst wydaje się być zaszyfrowany. Jeśli cel odpowie, że nie może odczytać dokumentu, haker wysyła mu łącze do rzekomego narzędzia deszyfrującego. W rzeczywistości jest to backdoor SPICA – opracowanie własne Cold River. Umożliwia atakującym stały dostęp do komputera ofiary w celu wykonywania poleceń oraz kradzieży dokumentów i plików cookie przeglądarki.
Inżynier cyberbezpieczeństwa TAG, Billy Leonard, powiedział TechCrunch, że Google nie zna liczby ofiar, którym udało się złamać zabezpieczenia przy użyciu SPICA, ale firma uważa, że backdoor jest wykorzystywany w „bardzo ograniczonych, ukierunkowanych atakach”. Rozwój SPICA prawdopodobnie trwa, a backdoor jest nadal używany w przeprowadzanych obecnie atakach. Pomimo wysiłków organów ścigania, grupa Cold River w ostatnich latach pozostawała niezmiennie aktywna.
Po wykryciu aktywnej kampanii złośliwego oprogramowania Google dodał wszystkie domeny, witryny i pliki powiązane z Cold River do swojej usługi Bezpieczne przeglądanie, aby chronić swoich użytkowników. Cold River był wcześniej powiązany z operacją hakerską i wyciekiem danych, w wyniku której ukradło wiele e-maili i dokumentów wysokim rangą zwolennikom brexitu, w tym Sir Richardowi Dearlove’owi, byłemu szefowi brytyjskiego wywiadu zagranicznego MI6.