Els Estats Units i Microsoft donen un cop important al frau cibernètic rus que s'apodera de 107 dominis en la repressió global
En una repressió important contra el frau cibernètic, Microsoft i el Departament de Justícia dels Estats Units (DoJ) van anunciar recentment la confiscació de 107 dominis d'Internet utilitzats per ciberdelinqüents patrocinats per l'estat rus . Aquest esforç forma part d'una batalla en curs per frenar els ciberatacs, especialment els relacionats amb el robatori d'informació sensible i l'abús de la confiança digital.
Taula de continguts
La connexió russa: orientació a les dades dels nord-americans
Aquests dominis, dirigits per actors d'amenaces cibernètiques vinculats al govern rus, es van utilitzar principalment per facilitar el frau i l'abús informàtic. L'objectiu del grup? Per robar informació confidencial dels nord-americans atraient les víctimes perquè revelin les credencials d'inici de sessió mitjançant comptes de correu electrònic falsos però convincents. La fiscal general adjunta, Lisa Monaco, va declarar: "El govern rus va executar aquest esquema per robar informació confidencial dels nord-americans, utilitzant comptes de correu electrònic aparentment legítims per enganyar les víctimes perquè revelin les credencials del compte".
Els culpables d'aquests ciberatacs s'atribueixen a un grup conegut com COLDRIVER. Tot i que és possible que el nom no soni immediatament, el grup és notori sota una varietat d'àlies : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard i més. COLDRIVER, també conegut com TAG-53 i UNC4057, és una unitat operativa del Servei Federal de Seguretat (FSB) de Rússia, activa des d'almenys el 2012.
Les sancions i la pressió creixent sobre COLDRIVER
En els últims anys, els esforços de les forces de l'ordre s'han intensificat contra el grup. El desembre de 2023, els governs del Regne Unit i dels EUA van imposar sancions a dos dels membres destacats de COLDRIVER : Aleksandrovich Peretyatko i Andrey Stanislavovich Korinets. Aquestes persones van ser destacades pel seu paper en la recollida de credencials i el llançament de campanyes de pesca amb lanza, esforços molt específics destinats a infiltrar-se en els sistemes dels funcionaris del govern dels EUA, el personal militar i les organitzacions de la societat civil. Més sancions van arribar del Consell Europeu del juny de 2024, continuant amb la pressió internacional sobre el grup.
Els dominis: una porta d'entrada a les intrusions cibernètiques
Entre els 107 dominis confiscats, 41 van ser utilitzats principalment pels atacants per dur a terme campanyes de pesca de pesca contra el govern dels EUA. Aquestes campanyes es van dirigir a comptes de correu electrònic d'alt nivell amb l'objectiu de robar credencials i accedir a informació valuosa, sovint classificada. Aquesta tàctica és una part clau del manual operatiu de COLDRIVER, que combina el sigil i l'enginyeria social per enganyar els usuaris perquè comprometin sistemes sensibles.
El DoJ va assenyalar que els actors de l'amenaça van violar diverses lleis d'accés a ordinadors, inclòs l'accés no autoritzat a sistemes governamentals i ordinadors protegits. Aquestes accions malicioses van causar danys importants, subratllant la naturalesa persistent i en evolució de la ciberdelinqüència moderna.
L'acció civil de Microsoft per abordar la xarxa de COLDRIVER
Paral·lelament a les confiscacions de dominis, Microsoft va prendre mesures legals per neutralitzar 66 dominis d'Internet addicionals associats a COLDRIVER. Aquests dominis es van utilitzar per apuntar a més de 30 entitats i organitzacions de la societat civil entre gener de 2023 i agost de 2024, centrant-se principalment en ONG i grups de reflexió que donen suport als empleats del govern, el personal militar i els funcionaris d'intel·ligència. Les operacions del grup van abastar països de l'OTAN com el Regne Unit i els EUA, amb un interès particular en les organitzacions que donen suport a Ucraïna, un indicador clar dels objectius geopolítics de Rússia.
Steven Masada, advocat general adjunt de la Unitat de Delictes Digitals (DCU) de Microsoft, va destacar la gravetat d'aquestes campanyes. "Les operacions d'Star Blizzard són implacables, aprofitant la confiança, la privadesa i la familiaritat de les interaccions digitals quotidianes", va remarcar. Va subratllar que el grup ha estat especialment agressiu a l'hora d'orientar antics funcionaris d'intel·ligència, experts en afers russos i fins i tot ciutadans russos que resideixen als Estats Units.
La recerca implacable de dades de COLDRIVER
Des del gener de 2023, Microsoft va identificar 82 clients que han estat els objectius de COLDRIVER, un reflex de la persistència del grup. "La seva freqüència subratlla la diligència del grup per identificar objectius d'alt valor, elaborar correus electrònics de pesca personalitzats i desenvolupar la infraestructura necessària per al robatori de credencials", va afegir Masada. Aquesta recerca implacable demostra que el grup està perfeccionant constantment els seus mètodes per mantenir-se per davant de les mesures defensives.
Les víctimes, que sovint desconeixen la intenció maliciosa que hi ha darrere d'aquests correus electrònics de pesca, interaccionen sense saber-ho amb aquests missatges fraudulents. Com a resultat, les seves credencials es veuen compromeses, donant als ciberdelinqüents accés a dades sensibles i xarxes d'alt valor.
Un pas endavant en la lluita contra el cibercrim
Els esforços conjunts de Microsoft i el govern dels EUA per apoderar-se d'aquests dominis marquen una victòria crítica en la guerra en curs contra els ciberatacs patrocinats per l'estat. Tot i que aquesta repressió pertorba les operacions de COLDRIVER de moment, la història del grup suggereix que continuaran evolucionant, cosa que fa que sigui crucial que els governs, les organitzacions i els individus es mantinguin vigilants.
La confiscació d'aquests dominis és només un pas en un esforç més ampli per protegir la informació sensible, assegurar la confiança digital i fer que els ciberdelinqüents siguin responsables. A mesura que les amenaces cibernètiques continuen evolucionant, no es pot exagerar la importància de mesures de seguretat sòlides i de respostes globals coordinades.