Calisto cilja Reportere bez granica (RSF)

AUTOR ·

Calisto phishing kampanja usmjerena protiv Reportera bez granica (fra. Reporters sans frontières – RSF), kroz korištenje ciljanog pecanja (eng. spearphishing), predstavlja snažno oružje u arsenalu naprednih zlonamjernih aktera, pokazuje istraživanje Sekoia.io.  Analizom ovakvih kampanja moguće je steći jasniji uvid u njihovo ponašanje i dobiti praktične zaključke koji doprinose jačanju položaja u oblasti sajber bezbjednosti.

Calisto

Calisto cilja Reportere bez granica (RSF); Source: Bing Image Creator

CALISTO PHISHING KAMPANJA

Calisto phishing kampanje predstavljaju oblik ciljanog napada koji se zasniva na lažnom predstavljanju pouzdanih kontakata. Najčešće se koriste elektronske poruke u kojima se „zaboravlja“ prilog ili šalju nefunkcionalne, ali bezopasne PDF datoteke. Ovakva tehnika osmišljena je da poveća vjerodostojnost komunikacije i podstakne žrtvu da zatraži ponovno slanje.

Primjena takvih taktika pokazuje upornost i razvijenost Calisto operacija sajber špijunaže. Grupa je aktivna od 2017. godine, a zapadne obavještajne službe njene aktivnosti povezuju sa Centrom 18 za informacionu bezbjednost ruske Federalne službe bezbjednosti (FSB). Ovo ukazuje na blisku vezu između Calisto operacija i strateških ciljeva Rusije.

Izbor meta je posebno značajan, jer se grupa fokusira na krađu podataka za prijavu i obavještajnih informacija od entiteta koji pružaju podršku Ukrajini. Time se potvrđuje da je glavni cilj prikupljanje osjetljivih podataka koji se mogu koristiti za ometanje lanaca snabdijevanja Kijeva i slabljenje vojnih pojačanja.

Tokom vremena, taktika Calisto grupe evoluirala je ka naprednim tehnikama zamagljivanja i uvjerljivim oponašanjima. Ove metode omogućavaju održavanje visokog nivoa vjerodostojnosti dok se sprovode phishing kampanje protiv odabranih meta.

Kampanje zabilježene u maju i junu 2025. godine bile su usmjerene na međunarodne organizacije, među kojima francusku nevladinu organizaciju Reporteri bez granica (RSF), kao i istraživačke sektore povezane sa NATO. Ovi napadi pokazuju da čak i dobro uspostavljeni entiteti mogu postati žrtve naprednih phishing kampanja koje sprovodi grupa Calisto.

 

Reporteri bez granica (RSF)

Francuska nevladina organizacija Reporteri bez granica (RSF) bila je meta grupe Calisto u maju i junu 2025. godine. Ovaj napad pokazuje ranjivost međunarodnih organizacija na operacije sajber špijunaže koje sprovode grupe poput Calisto.

Taktika grupe obuhvatala je phishing napade zasnovane na tehnikama zamagljivanja i uvjerljivim oponašanjima. Elektronske poruke bile su oblikovane tako da izgledaju kao da dolaze od pouzdanih kontakata, sa prilozima ili vezama osmišljenim da podstaknu žrtve da zatraže nedostajuće datoteke ili pristupe kompromitovanim internet stranicama.

Korištenje ProtonMail adresa dodatno je naglasilo prilagodljivost Calisto grupe i njenu sposobnost da vremenom razvija taktiku. To ukazuje na visok nivo razvijenosti, jer grupa uspijeva da prilagodi metode kako bi izbjegla otkrivanje bezbjednosnim mjerama.

Napad na Reportere bez granica (RSF) ističe značaj provjere komunikacija i unaprijeđenog praćenja phishing pokušaja zasnovanih na ProtonMail platformi. Ovo je naročito važno za organizacije koje se bave humanitarnim ili odbrambenim aktivnostima, jer upravo one mogu postati mete grupa poput Calisto.

 

Funkcionisanje

Phishing metodologija koju koristi grupa Calisto obuhvata više faza, od kojih je svaka osmišljena da poveća vjerodostojnost i prikrije zlonamjernu namjeru iza napada. Stvaranjem naizgled autentične razmjene između pouzdanih kontakata, akteri uspijevaju da primijene zlonamjerni softver ili prikupe osjetljive informacije bez izazivanja sumnje.

Pristup Calisto grupe odlikuje se razvijenim tehnikama društvenog inženjeringa. Kontakt sa primaocima inicira se putem ProtonMail adresa koje se predstavljaju kao pouzdani izvori. Na taj način se koristi reputacija poznatih pojedinaca kako bi se stvorio osjećaj bliskosti i povećala podložnost žrtava napadu.

Prva elektronska poruka obično traži od primalaca da pregledaju dokumente, ali prilog namjerno izostaje. Kada žrtve zatraže nedostajuću datoteku, akteri odgovaraju sadržajem prikrivenim kao legitimni PDF dokumenti. Takve datoteke često sadrže PHP skripte konfigurisane sa GET parametrima koji imitiraju legitimne parametre analitike Urchin Tracking Module (UTM), uz korištenje JavaScript preusmjeravanja radi prikrivanja phishing lanca.

Ovaj višestepeni pristup povećava vjerodostojnost stvaranjem privida autentične razmjene prije primjene zlonamjernog softvera ili prikupljanja podataka za prijavu. Upotreba UTM parametara i JavaScript preusmjeravanja dodaje sloj zamagljivanja, otežavajući primaocima da prepoznaju zlonamjernu namjeru.

Posebno značajan slučaj uključivao je člana osoblja Reporteri bez granica (RSF), koji je primio obmanjujuću elektronsku poštu na francuskom jeziku, sa pravilno formatiranim potpisom pouzdanog kontakta. Ovaj nivo detalja pokazuje pažnju Calisto grupe u stvaranju uvjerljivih komunikacionih kanala sposobnih da obmanu i iskusne profesionalce.

Poruka je sadržavala nefunkcionalnu vezu osmišljenu da podstakne dodatni odgovor od primaoca. Nakon toga, akter je poslao novu elektronsku poštu sa vezom koja je preusmjeravala na kompromitovanu internet stranicu, a zatim na ProtonDrive URL adresu gdje je bio uskladišten zlonamjerni sadržaj. Ovakav pristup pokazuje sposobnost Calisto grupe da prilagođava i usavršava svoje taktike na osnovu povratnih informacija iz prethodnih napada.

 

UTICAJ

Calisto sajber prijetnja ostavlja dubok i trajan otisak u zajednici sajber bezbjednosti. Njene napredne taktike ne samo da demonstriraju visok stepen tehničke vještine, već i proračunatu namjeru da se infiltrira u najzaštićenije sisteme. Ova sposobnost da se zlonamjerni akteri predstave kao pouzdani kontakti pokazala se razornom, rezultirajući nizom visokoprofilnih prodora.

Posljedice ovakvih napada višestruke su i dalekosežne. Organizacije su se suočile s kompromitovanjem podataka, destabilizacijom sistema i gubitkom povjerenja klijenata. Pojedinci su postali mete phishing kampanja koje su ugrozile njihovu ličnu bezbjednost i privatnost. Nepovjerenje u digitalne komunikacije raste, jer korisnici sada preispituju čak i naizgled bezazlene poruke i kontakte.

Napad na Reportere bez granica (RSF) posebno je istakao značaj provjere komunikacija i unaprijeđenog praćenja phishing pokušaja zasnovanih na ProtonMail platformi. Ovo je naročito važno za organizacije koje se bave humanitarnim ili odbrambenim aktivnostima, jer upravo one mogu postati mete grupa poput Calisto. Time se pokazuje da prijetnja nije ograničena samo na komercijalne subjekte, već zahvata i one koji djeluju u javnom interesu.

Aktivnosti Calisto grupe imaju dalekosežan efekat na cijelu zajednicu sajber bezbjednosti. Stručnjaci su primorani da razvijaju nove strategije odbrane i detekcije, dok se povećava potreba za međunarodnom saradnjom i razmjenom informacija. Edukacija korisnika postaje ključna, jer ljudski faktor ostaje najranjivija tačka u lancu bezbjednosti.

 

ZAKLJUČAK

Phishing kampanja grupe Calisto predstavlja ključnu tačku za razumijevanje složenosti savremenih sajber prijetnji usmjerenih protiv visokoprofilnih meta. Analiza ovakvih napada pokazuje da oni ne počivaju samo na tehničkoj infrastrukturi, već i na sofisticiranoj psihološkoj manipulaciji, čime se dodatno povećava njihova efikasnost.

Organizacija Reporteri bez granica (RSF) identifikovana je kao jedna od glavnih meta, što jasno ukazuje na ranjivost čak i međunarodno priznatih institucija. Korištenje mamaca u vidu elektronske pošte sa nedostajućim prilozima ili oštećenim PDF datotekama svjedoči o sposobnosti Calisto grupe da se prilagođava i kontinuirano razvija svoje taktike.

Višestepeni pristup, kojim se istovremeno gradi kredibilitet i održava operativna bezbjednost, otežava žrtvama otkrivanje zlonamjernih sadržaja. Ovakva strategija naglašava potrebu za unapređenjem mjera sajber bezbjednosti, naročito među visoko vrijednim metama.

Dodatno, pokušaji preuzimanja validnih krajnjih tačaka iz infrastrukture ProtonMaila ukazuju na visok stepen sofisticiranosti i sposobnost Calisto grupe da održi privid legitimiteta. Sve navedeno potvrđuje da phishing napadi ove vrste predstavljaju ozbiljnu prijetnju, koja zahtijeva stalnu pažnju i proaktivne mjere zaštite.

 

PREPORUKE

Zaštita od naprednih phishing napada, poput onih koje koristi Calisto grupa, zahtijeva stalnu budnost i dosljedno pridržavanje najboljih bezbjednosnih praksi. Da bi se smanjio rizik i ojačao bezbjednosni položaj u suočavanju sa ovakvim prijetnjama, u nastavku se izdvajaju ključne preporuke koje mogu pomoći korisnicima i organizacijama i pojedincima da se efikasnije zaštite:

  1. Korisnici bi trebalo da budu oprezni kada primaju elektronsku poštu od nepoznatih ili neprovjerenih pošiljalaca, čak i ako izgleda da su od pouzdanih kontakata. Potrebno je provjeriti poreklo elektronske pošte nezavisnim sredstvima prije nego što se pozabave njenim sadržajem;
  2. Kada se obavlja komunikacija sa osjetljivim informacijama, koristite utvrđene protokole poput šifrovanih servisa elektronske pošte koji osiguravaju povjerljivost i autentičnost poruka;
  3. Primjenjivati oprez prilikom klikova na veze u elektronskoj pošti ili prilozima. Provjeriti njihovu legitimnost provjerom URL u odnosu na poznate pouzdane izvore prije nastavka;
  4. Implementirati robusne bezbjednosne mjere, kao što je autentifikacija u dva koraka (eng. two-factor authentication – 2FA), kako bi se spriječio neovlašteni pristup čak i ako su podaci za prijavu ugroženi;
  5. Osigurati da svi sistemi i aplikacije imaju instalirane najnovije ispravke kako bi se zaštitili od zloupotrebe ranjivosti od strane zlonamjernog aktera;
  6. Koristiti napredne filtere za neželjenu elektronsku poštu (eng. spam) koji mogu da otkriju pokušaje phishing napada, uključujući one koji koriste lažne adrese pošiljalaca ili zlonamjerne veze;
  7. Sprovoditi temeljne procjene rizika kako bi se identifikovale potencijalne slabosti u odbrani organizacije i po potrebi sproveli korektivne mjere;
  8. Potrebno je obezbijediti sveobuhvatne programe obuke za sve članove osoblja kako bi se podigla svijest o taktikama phishing napada, upravljanju lozinkama i drugim bitnim bezbjednosnim temama;
  9. Prilikom razmjene osjetljivih datoteke sa spoljnim stranama, koristiti renomirane platforme za skladištenje u oblaku koje nude robusno šifrovanje i kontrolu pristupa;
  10. Razvijte detaljne procedure za reagovanje na potencijalne propuste ili phishing incidente, uključujući obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;
  11. Redovno pregledati sistemske zapise i pratite mrežnu aktivnost u potrazi za sumnjivim obrascima koji mogu ukazivati na to da je phishing napad u toku;
  12. Instalirati renomirane bezbjednosne pakete na sve uređaje kako bi se otkrio i uklonio zlonamjerni kôd prije nego što može da izazove štetu;
  13. Sprovoditi politike jakih, jedinstvenih lozinki u cijeloj organizaciji i razmotriti implementaciju menadžera lozinki ili autentifikacije u više koraka (eng. multi-factor authentication – MFA) za dodatnu zaštitu;
  14. Izvoditi ciljane vježbe koje imitiraju napade iz stvarnog svijeta kako bi se testirala svijest zaposlenih o taktikama phishing napada i identifikovali oblasti gdje je potrebna dodatna obuka;
  15. Koristite napredna rješenja za obavještajne podatke o prijetnjama koja koriste podatke u realnom vremenu iz renomiranih izvora kako bi identifikovala potencijalne prijetnje prije nego što mogu da izazovu štetu;

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti svoju izloženost riziku od prijetnji kao što su napadi Calisto grupe i održati bezbjedno okruženje za sve korisnike.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.