САЩ и Microsoft нанасят сериозен удар на руските кибер измами. Конфискуват 107 домейна при глобална репресия
В мащабна кампания срещу кибер измамите, Microsoft и Министерството на правосъдието на САЩ (DoJ) наскоро обявиха изземването на 107 интернет домейна, използвани от руски държавно спонсорирани киберпрестъпници . Това усилие е част от продължаващата битка за ограничаване на кибератаките, особено тези, свързани с кражба на чувствителна информация и злоупотреба с цифрово доверие.
Съдържание
Руската връзка: Насочване към данните на американците
Тези домейни, управлявани от участници в кибернетични заплахи, свързани с руското правителство, са използвани предимно за улесняване на компютърни измами и злоупотреби. Целта на групата? Да открадне чувствителна информация на американците, като примами жертвите да разкрият идентификационни данни за вход чрез фалшиви, но убедителни имейл акаунти. Заместник-главният прокурор Лиза Монако заяви: „Руското правителство управлява тази схема за кражба на чувствителна информация на американците, използвайки привидно легитимни имейл акаунти, за да подмами жертвите да разкрият идентификационните данни на акаунта.“
Виновниците зад тези кибератаки се приписват на група, известна като COLDRIVER. Въпреки че името може да не звучи незабавно, групата е известна под различни псевдоними : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard и др. Съобщава се, че COLDRIVER, наричан още TAG-53 и UNC4057, е оперативно звено към Федералната служба за сигурност на Русия (FSB), действащо най-малко от 2012 г.
Санкциите и нарастващият натиск върху COLDRIVER
През последните години усилията на правоохранителните органи се засилиха срещу групата. През декември 2023 г. правителствата на Обединеното кралство и САЩ наложиха санкции на двама от видните членове на COLDRIVER : Александрович Перетятко и Андрей Станиславович Коринец. Тези лица бяха набелязани заради ролята им в събирането на идентификационни данни и стартирането на кампании за фишинг – силно целенасочени усилия, насочени към проникване в системите на американски правителствени служители, военен персонал и организации на гражданското общество. Допълнителни санкции дойдоха от Европейския съвет през юни 2024 г., продължавайки международния натиск върху групата.
Домейните – портал за кибер прониквания
Сред 107 конфискувани домейна, 41 са били използвани основно от нападателите за извършване на фишинг кампании срещу правителството на САЩ. Тези кампании са насочени към имейл акаунти на високо ниво с цел кражба на идентификационни данни и достъп до ценна, често класифицирана информация. Тази тактика е ключова част от оперативния план на COLDRIVER, смесвайки стелт и социално инженерство, за да подмами потребителите да компрометират чувствителни системи.
Министерството на правосъдието отбеляза, че участниците в заплахата са нарушили множество закони за достъп до компютри, включително неоторизиран достъп до правителствени системи и защитени компютри. Тези злонамерени действия причиниха значителни щети, подчертавайки устойчивия и развиващ се характер на съвременните киберпрестъпления.
Гражданските действия на Microsoft за справяне с мрежата на COLDRIVER
Успоредно с конфискациите на домейни, Microsoft предприе правни стъпки за неутрализиране на 66 допълнителни интернет домейна, свързани с COLDRIVER. Тези домейни бяха използвани за насочване към над 30 субекти и организации на гражданското общество между януари 2023 г. и август 2024 г., като основно се фокусираха върху НПО и мозъчни тръстове, които подкрепят държавни служители, военен персонал и служители на разузнаването. Операциите на групата обхващаха страни от НАТО като Обединеното кралство и САЩ, с особен интерес към организации, предоставящи подкрепа на Украйна – ясен показател за геополитическите цели на Русия.
Стивън Масада, помощник главен юрисконсулт в Отдела за цифрови престъпления (DCU) на Microsoft, подчерта сериозността на тези кампании. „Операциите на Star Blizzard са безмилостни, като се възползват от доверието, поверителността и познаването на ежедневните цифрови взаимодействия“, отбеляза той. Той подчерта, че групата е била особено агресивна в набелязването на бивши служители на разузнаването, експерти по руските въпроси и дори руски граждани, пребиваващи в САЩ
Безмилостното преследване на данни от COLDRIVER
От януари 2023 г. Microsoft идентифицира 82 клиенти, които са били насочени към COLDRIVER, което е отражение на упоритостта на групата. „Тяхната честота подчертава усърдието на групата в идентифицирането на цели с висока стойност, изработването на персонализирани фишинг имейли и разработването на необходимата инфраструктура за кражба на идентификационни данни“, добави Масада. Това безмилостно преследване показва, че групата непрекъснато усъвършенства методите си, за да изпревари отбранителните мерки.
Жертвите, които често не знаят за злонамереното намерение зад тези фишинг имейли, несъзнателно се ангажират с тези измамнически съобщения. В резултат на това техните идентификационни данни са компрометирани, давайки на киберпрестъпниците достъп до чувствителни данни и мрежи с висока стойност.
Стъпка напред в борбата срещу киберпрестъпността
Съвместните усилия на Microsoft и правителството на САЩ за изземването на тези домейни бележат критична победа в продължаващата война срещу спонсорираните от държавата кибератаки. Въпреки че тази репресия прекъсва операциите на COLDRIVER засега, историята на групата предполага, че те ще продължат да се развиват, което прави изключително важно за правителствата, организациите и отделните лица да останат бдителни.
Изземването на тези домейни е само една стъпка в по-широко усилие за защита на чувствителна информация, осигуряване на цифрово доверие и търсене на отговорност от киберпрестъпниците. Тъй като киберзаплахите продължават да се развиват, значението на стабилните мерки за сигурност и координираните глобални реакции не може да бъде надценено.