Muchos ataques de phishing exitosos conducen a una pérdida financiera o una infección maliciosa. Pero caer en estafas de phishing, como aquellos que actualmente se dirigen a rusos que buscan organizaciones en línea que luchen contra la máquina de guerra del Kremlin, pueden costarle su libertad o su vida.
El verdadero sitio web del grupo paramilitar ucraniano “Freedom of Russia” Legion. El texto fue transportado por máquina desde ruso.
Investigadores de la sociedad de seguridad Silencioso Cartografiado una red de varias docenas de áreas de phishing que usurparon los sitios web de reclutamiento para grupos paramilitares ucranianos, así como sitios de inteligencia del gobierno ucraniano.
El sitio web legiohlibertad[.]ejército tiene una copia al carbón de la página de inicio para el Libertad de la Legión de Rusia (También conocido como “Legión Rusia libre”), una unidad paramilitar de tres años compuesta por ciudadanos rusos que se oponen a Vladimir Putin y su invasión de Ucrania.
La versión falsa de este sitio web copia el sitio legítimo – Legionliberismo[.]ejército – interactivo Forma de Google Donde los candidatos interesados pueden compartir sus contactos y datos personales. El formulario pide a los visitantes que proporcionen sus nombres, sexo, edad, dirección de correo electrónico y / o manejo en un telegrama, país, ciudadanía, experiencia en las fuerzas armadas; Opiniones políticas; motivaciones para unirse; Y todos los malos hábitos.
“La participación en tales acciones contra la guerra se considera ilegal en la Federación de Rusia, y los ciudadanos participantes son acusados y arrestados regularmente”, escribió Silent Push en un informe publicado hoy. “Todas las campañas observadas tenían características similares y compartían un objetivo común: la recopilación de información personal de las víctimas de sitios de sitios. Nuestro equipo cree que es probable que esta campaña sea el trabajo de los servicios de inteligencia rusos o un jugador de amenazas con razones alineadas similares”.
Empuje silencioso Zach Edwards dijo que el sitio de Legion Liberty falso ha compartido varias conexiones con rusvolcorps[.]neto. Este campo imita la página de reclutamiento de un grupo paramilitar de lejos ucraniano llamado el Cuerpos voluntarios rusos (Rusvolcorps[.]com), y utiliza una página de formulario de Google similar para recopilar información de miembros potenciales.
Los otros campos de empuje silenciosos conectados al esquema de phishing incluyen: Ciagov[.]Usique refleja el contenido en el sitio web oficial de Agencia de Inteligencia Central de los Estados Unidos; Y Hochuzhitlife[.]comunicarseQue usurpación Ministerio de Defensa de Ucrania y Dirección General de Información (cuyo verdadero dominio es Hochuzhit[.]comunicarse).
Según Edwards, no hay señales de que estos sitios de phishing sean anunciados por correo electrónico. Más bien, parece que los funcionarios los promovieron manipulando los resultados de los motores de búsqueda indicaron cuando alguien está buscando una de estas organizaciones de bombeo.
En agosto de 2024, investigador de seguridad Artem tamoi póster En Twitter / x En la forma en que recibió resultados sorprendentemente diferentes cuando buscó “libertad de la legión rusa” en el motor de búsqueda interior más grande de Rusia Yandex contra Google.com. El mayor resultado devuelto por Google fue el sitio web real de la Legión, mientras que el primer resultado en Yandex fue una página de phishing dirigida al grupo.
“Creo que al menos algunos de ellos seguramente son promovidos a través de la investigación”, dijo Tamiian sobre las áreas de phishing. “Mi primer hilo sobre lo que acusa a Yandex, pero aparte del Yandex, estos sitios web todavía se clasifican anteriormente legítimos en Duckduckgo y Bing.
Tamous, un ruso nativo que dejó el país en 2019 Malfors.com. Recientemente descubrió otros dos sitios que imitaban a los grupos paramilitares ucranianos – Legionliberismo[.]mundo Y rusvolcorps[.]freno – e informaron ambos en Cloudflare. Cuando Cloudflare respondió bloqueando los sitios con una advertencia de phishing, la verdadera dirección de Internet de estos sitios se expuso como perteneciente a una red conocida “alojamiento en la prueba de empacador” llamada Stark Industries Solutions Ltd.
Stark Industries Solutions apareció dos semanas antes de que Rusia llegara a Ucrania en febrero de 2022, materializándose de la nada con cientos de miles de direcciones de Internet en su establo, muchas de ellas originalmente atribuidas a organizaciones gubernamentales rusas. En mayo de 2024, Krebsonscurity publicó una inmersión profunda sobre Stark, que se usó varias veces para acomodar la infraestructura para los ataques de servicios distribuidos (DDoS), las campañas de phishing, malware y desinformación de las agencias de inteligencia rusas y los grupos piratas pro-kremlín.
En marzo de 2023, la Corte Suprema de Rusia designó la libertad de la Legión de Rusia como una organización terrorista, lo que significa que los rusos sorprendidos de comunicarse con el grupo podrían incurrir entre 10 y 20 años de prisión.
Tamouin dijo que aquellos que buscaban información sobre estos grupos paramilitares en línea se han convertido en presas fáciles de los servicios de seguridad rusos.
“Comencé a estudiar estos sitios web de phishing, porque seguí estampando con la noticia de que alguien es arrestado por tratar de unirse [the] Ejército ucraniano o por tratar de ayudarlos “, Tamoian le dijo a KrebsSonsecurity”. También vi informes [of] FSB contactando a personas que hacen la identidad de los oficiales ucranianos, así como el uso de falsos robots de telegrama, por lo que pensé que los sitios web falsos también podrían ser una opción. »»
Resultados de la investigación que muestran artículos de prensa sobre personas en Rusia condenadas a largas penas de prisión por tratar de ayudar a los grupos paramilitares ucranianos.
Tamouis dijo trae una superficie regularmente en Rusia En los arrestados por tratar de llevar a cabo una acción solicitada por un “reclutador ucraniano”, los tribunales imponen sin fallas con oraciones difíciles, independientemente de la edad del acusado.
“Sigue sucediendo regularmente, pero generalmente no hay detalles sobre cómo la persona está haciendo exactamente”, dijo. “Todos los casos relacionados con la traición estatal [and] El terrorismo se clasifica, por lo que prácticamente no hay detalles. »»
Tamouiis dijo que incluso si no tenía evidencia directa que conectara los arrestos y condenas reportadas a estos sitios de phishing, es cierto que los sitios son parte de una campaña más amplia del gobierno ruso.
“Dado que los mantienen vivos y continúan reproduciéndose más, supongo que podría ser algo efectivo”, dijo. “Están en la cima de Duckduckgo y Yandex, por lo que funciona desafortunadamente”.
Disputa: informe de empuje silencioso, Inteligencia rusa dirigida a sus ciudadanos e informantes.