Contexto da Investigação
Em 7 de dezembro de 2023, um comunicado conjunto do Reino Unido, EUA, Canadá, Austrália e Nova Zelândia atribuiu o conjunto de intrusão anteriormente conhecido Star Blizzard (também conhecido como CALISTO para Sekoia.io) ao Departamento de Segurança Federal Russo (FSB). Os governos dos EUA e do Reino Unido anunciaram sanções contra dois cidadãos russos, Ruslan Peretyatko e Andrey Korinets, acusados de estarem ativamente envolvidos nas operações CALISTO.
Há um ano, em 6 de janeiro de 2023, Sekoia.io distribuiu aos nossos clientes um FLINT (relatório Flash Intelligence) sobre nossas descobertas sobre Andrey Korinets. Esta investigação começou quando uma fonte confiável contatou analistas do TDR da Sekoia.io sobre nossa publicação anterior no CALISTO, informando-nos sobre uma possível ligação entre uma infraestrutura conhecida usada por CALISTO e Andrey Korinets.
Sekoia.io conduziu uma investigação técnica adicional que confirmou uma relação existente de pelo menos 2015 a 2020 entre CALISTO e Korinets. Para evitar atividades de doxxing, evitamos publicar esta investigação. Então, quando a Reuters publicou sobre Andrey Korinet, enviamos nossa investigação aos nossos clientes do CTI.
Com este FLINT de acompanhamento do CALISTO, gostaríamos de compartilhar nossa investigação que revela links entre as atividades da Korinets e um grande cluster técnico composto por dezenas de domínios de phishing CALISTO e vários servidores, incluindo alguns expostos pela F-Secure em 2017 em um white paper sobre “Grupo Calisto”.
Estamos agora publicando nossa investigação técnica que concorda com a designação de Andrey Korinet pela Reuters e pelo Reino Unido-EUA.
Uma investigação baseada nos e-mails de Korinets
Seguindo a inteligência sobre Korinets fornecida por uma fonte confiável, SEKOIA.IO conduziu pesquisas em uma antiga infraestrutura CALISTO, permitindo-nos identificar vários endereços de e-mail usados por Andrey Korinets associados a ela.
Esta antiga infraestrutura CALISTO foi utilizada para realizar campanhas de phishing desde pelo menos 2015 até 2020, quando novos domínios foram alegadamente utilizados para atingir várias entidades ucranianas e do Reino Unido, como o Parlamento Britânico e a Universidade de Cambridge.
Os e-mails associados ao Korinets podem ser recuperados em registros históricos WHOIS e certificados SSL associados à infraestrutura CALISTO. Vale ressaltar que a mesma infraestrutura também foi utilizada por Korinets para hospedar seus próprios sites, incluindo lojas online de venda de esteróides, o que corresponde aos seus interesses pessoais descritos no artigo da Reuters.
De acordo com nosso contato, dois endereços de e-mail (nepkomi@gmail[.]com e yuuuka333@gmail[.]com) supostamente pertenciam e eram usados por Korinets.
SEKOIA.IO identificou um link técnico que conecta nepkomi @gmail[.]com a um servidor de phishing CALISTO conhecido ( 154.127.59[.]186 ) e outro endereço de e-mail.
E-mail: vladimirdj90@gmail[.]com
Além do link técnico anterior com o endereço de e-mail de Korinets conforme mostrado acima, conseguimos encontrar uma segunda conexão com vladimirdj90@gmail[.]com por meio de um procedimento público dos EUA relacionado ao TopCoin, um antigo e agora desativado blockchain de criptomoeda, acessível em fontes abertas.
Baseando-nos neste e-mail, conseguimos encontrar um certificado SSL autoassinado associado do Vesta Control Panel (e7b0[…]168e), hospedado no endereço IP 86.110.117[.]172. Este IP foi resolvido pelos domínios shared-docs[.]download e eu-office365[.]co que apresentam o mesmo padrão dos domínios recentes do CALISTO como eu-office365[.]com, registrados sob o nome “ANDREY Korinets” com base em um registro histórico do WHOIS.
Nossa investigação mostrou que vladimirdj90@gmail[.]com também está presente nos registros WHOIS de vários domínios vinculados à venda de anabolizantes e esteróides, um interesse pessoal da Korinets, domínios de phishing conhecidos CALISTO, bem como possivelmente outros domínios relacionados a phishing. como:
qooqle-support-mail[.]pw * emailapp[.]pw * yahoomailfree[.]pw * support-gmail[.]pw * live-login[.]info * google-plus[.]top * gmail-techdoc[.]pw login-live[.]review * support-mail[.]top * ukrnet[.]pw
Nota: Domínios associados em fontes abertas a atividades anteriores do CALISTO apresentam um asterisco.
E-mail: sykt.support@gmail[.]com
É importante notar que os domínios anteriores relacionados a phishing também estavam relacionados ao endereço de e-mail sykt.support@gmail[.]com, sykt significa “Syktyvkar”, a capital da República Komi de onde Korinets é considerado originário. Um indivíduo com este endereço de e-mail compartilha a mesma cidade e senha com outro perfil vinculado ao e-mail yuuuka333@gmail[.]com em um despejo de rede social russa, portanto os analistas da SEKOIA.IO associam sykt.support@gmail[.]com a Andrey Korinets com confiança média.
Com base no banco de dados histórico do WHOIS, este e-mail está vinculado a 36 domínios, vários deles parecidos com domínios de phishing, como:
node03-prevention-icloud[.]link * node005-prevention-aol[.]link * support-mail[.]top * solicitação de autenticação[.]top * yahoo2-srv[.]bid yahoo-user[.]bid secure-icloud[.] acesso de login do contador[.]top * gmail-techdoc[.]pw secure-store-lcloud[.]top * prevention-aol[.]top auth-login[.]top * hghshop[. ]plataforma superior [.]link * nome de tela[.]clique * google-plus[.]top * support-gmail[.]pw * yahoomailfree[.]pw emailapp[.]pw * qooqle-support-mail[.]pw login ao vivo[.]info * login-live[.]revisão * ukrnet[.]pw musclepharm[.]top
Nota: Domínios associados em fontes abertas a atividades anteriores do CALISTO apresentam um asterisco.
E-mail: settings.personal@gmail[.]com
Três dos nomes de domínio de phishing mencionados anteriormente (ukrnet[.]pw, support-gmail[.]pw , qooqle-support-mail[.]pw) resolveram o endereço IP 37.1.206[.]114, que foi resolvido no ao mesmo tempo, por outro nome de domínio vinculado a outro endereço de e-mail, nomeadamente icloud-service[.]pw e settings.personal@gmail[.]com . Esse último e-mail settings.personal@gmail[.]com foi usado de 2014 a 2017 para domínios relacionados a anabolizantes e phishing:
anabol[.]in yahoocentermail[.]info * login-live-com[.]pw * ukroboronprom[.]pw icloud-service[.]pw * screenname-aol[.]pw * massa[.]pw accounts-mail[.]asia * service-mail[.]asia *
Nota: Domínios associados em fontes abertas a atividades anteriores do CALISTO apresentam um asterisco.
Nesta lista de domínios, é interessante apontar ukroboronprom[.]pw, que typosquats Ukroboronprom (Укроборонпром), um conglomerado de indústrias de defesa ucranianas. Este domínio é o primeiro associado a um potencial direcionamento de alto perfil originário deste cluster de infraestrutura.
Outro nome de domínio interessante é screenname-aol[.]pw, que estava resolvendo o endereço IP 139.162.145[.]184, resolvido por vários domínios associados às atividades da loja online de esteróides Korinets com base em seus registros históricos WHOIS, como muscle[. ]ovh e ukrpharma[.]ovh.
Registrant Name: Korinets Andrey Registrant Street: muscle.ovh, office #8930945 Registrant Street: c/o Owo, Bp80157 Registrant City: Roubaix Cedex 1 Registrant Postal Code: 59053 Registrant Country: FR Registrant Phone: +33.899498765 Registrant Email: [email protected]
A dinamização da infraestrutura nos permitiu passar de 139.162.145[.]184 para 95.213.194[.]163, ambos resolveram o mencionado anteriormente musclepharm[.]top, o que nos leva a outro domínio de phishing drive-meet-goodle[.]ru.
E-mail: usa42014@yandex[.]ru
Os endereços IP anteriores 139.162.145[.]184 e 95.213.194[.]163 possuem dois certificados SSL autoassinados distintos (0641[…]2299 – associado ao domínio musclepharm[.]top e d68c[…]7393 – associado ao domínio drive-meet-goodle[.]ru), ambos contendo o endereço de e-mail usa42014@yandex[.]ru .
Os analistas da SEKOIA.IO vinculam o endereço de e-mail usa42014@yandex[.]ru às atividades de Andrey Korinets com confiança média, pois este e-mail substituiu o e-mail yuuuka333@gmail[.]com no registro WHOIS de be-strong[.]org. drive-meet-goodle[.]ru é um dos IoCs publicados pela F-Secure em 2017.
Quatro outros certificados mostram vínculos com usa42014@yandex[.]ru. Um primeiro certificado autoassinado do painel de controle Vesta (8efb[…]a7f4) está associado ao domínio já listado live-login[.]info . Estava presente no endereço IP 185.72.179[.]132, resolvido por live-login[.]info entre 19/12/2015 e 25/03/2016.
Um segundo certificado (994a[…]1c30) está associado ao nome de domínio expert-service[.]tech e estava presente no endereço IP 185.212.128[.]28 . Este endereço IP foi resolvido entre 10/01/2019 e 04/11/2019 por dois domínios que se parecem com domínios de phishing, como yamail[.]press e drive-aoi[.]icu .
Um terceiro certificado (d3f1[…]593c) vinculado a usa42014@yandex[.]ru estava nos endereços IP 158.69.149[.]52 e 185.99.134[.]22, ambos resolvidos por vários domínios de phishing em 2019, como como:
office-356pro[.]pw en-office365[.]club file-sharing[.]online file-sharing[.]site en-microsofl[.]live online-1drv[.]world
E-mail: mewimoge1973@rambler[.]ru
O endereço de e-mail mewimoge1973@rambler[.]ru é bastante interessante porque está associado a outro certificado (fd21[…]3b61) vinculado ao endereço IP 95.171.17[.]36 e ao nome de domínio serv[.]safe-redirect [.]na rede. O endereço IP 95.171.17[.]36 foi resolvido em 2020 por dois nomes de domínio (safe-redirect[.]in.net, online-redirect[.]site) e dezenas de seus subdomínios, visando serviços online, bem como o Parlamento do Reino Unido e a Universidade de Cambridge .
Apenas um pouco de informação de código aberto pode vincular o endereço de e-mail mewimoge1973@rambler[.]ru a uma identidade clara. Este endereço de e-mail está presente em vários sites de ofertas russos na região de Komi, dos quais Korinets é considerado originário, mas sem uma boa visibilidade sobre a identidade real do proprietário.
Korinets, um simples hoster ou mais que isso?
Com esta investigação de infra-estruturas, demonstrámos que um indivíduo russo, cujo nome foi divulgado pela Reuters, registou de facto domínios de phishing utilizados pela intrusão CALISTO definida para conduzir pelo menos uma campanha de phishing visando entidades do Reino Unido, incluindo o Parlamento.
Tal como descrevemos no nosso último post no blog, SEKOIA.IO avalia que CALISTO contribui para os esforços de inteligência russos para apoiar os interesses estratégicos de Moscovo, como agora confirmado pelos serviços de inteligência ocidentais.
Surgem agora questões se Korinets sabia que estava em conluio com os operadores de Calisto e/ou com a inteligência russa. Se assim for, o seu papel preciso permanece obscuro, uma vez que SEKOIA.IO não possui evidências técnicas para avaliá-lo.
Com base nas informações de código aberto que pudemos reunir sobre esse indivíduo, parece que o registo de domínio era uma das suas principais competências, plausivelmente utilizada pela inteligência russa , quer diretamente, quer através de uma relação contratual.
A relação Korinets – CALISTO pode ter terminado em 2020, pois SEKOIA.IO não encontrou nenhuma ligação técnica posteriormente. Isso também pode ser devido à falta de visibilidade.
Todos os indicadores encontrados durante nossa investigação estão disponíveis em nossa página pública no Github.
Obrigado por ler esta postagem do blog. Agradecemos qualquer reação, feedback ou crítica sobre esta análise. Entre em contato conosco em tdr[at]sekoia.io.
