USA a Microsoft zasáhly ruský kybernetický podvod, který zabral 107 domén v globálním zátahu
V rámci rozsáhlého zátahu proti kybernetickým podvodům oznámily Microsoft a americké ministerstvo spravedlnosti (DoJ) nedávno zabavení 107 internetových domén používaných ruskými státem sponzorovanými kyberzločinci . Toto úsilí je součástí pokračující bitvy o omezení kybernetických útoků, zejména těch, které jsou spojeny s krádežemi citlivých informací a zneužíváním digitální důvěry.
Obsah
The Russian Connection: Targeting Americans' Data
Tyto domény provozované aktéry kybernetických hrozeb navázanými na ruskou vládu byly primárně využívány k usnadnění počítačových podvodů a zneužití. Cíl skupiny? Ukrást citlivé informace Američanů lákáním obětí k odhalení přihlašovacích údajů prostřednictvím falešných, ale přesvědčivých e-mailových účtů. Zástupkyně generálního prokurátora Lisa Monaco uvedla: „Ruská vláda spustila tento plán, aby odcizila citlivé informace Američanů pomocí zdánlivě legitimních e-mailových účtů, aby přiměla oběti k odhalení přihlašovacích údajů k účtu.
Viníci za těmito kybernetickými útoky jsou připisováni skupině známé jako COLDRIVER. I když název nemusí hned zvonit, skupina je notoricky známá pod různými přezdívkami : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard a další. COLDRIVER, také označovaný jako TAG-53 a UNC4057, je údajně operační jednotka spadající pod ruskou Federální bezpečnostní službu (FSB), aktivní minimálně od roku 2012.
Sankce a rostoucí tlak na COLDRIVER
V posledních letech se proti skupině zintenzivnilo úsilí vymáhání práva. V prosinci 2023 uvalily vlády Spojeného království a USA sankce na dva prominentní členy COLDRIVER : Aleksandroviče Peretyatka a Andrey Stanislavoviče Korince. Tito jednotlivci byli vybráni pro své role při získávání pověření a zahajování kampaní spear-phishing – vysoce cíleného úsilí zaměřeného na infiltraci systémů amerických vládních úředníků, vojenského personálu a organizací občanské společnosti. Další sankce přišly od Evropské rady v červnu 2024 a pokračovaly v mezinárodním tlaku na skupinu.
Domény – brána ke kybernetickému narušení
Ze 107 zabavených domén bylo 41 primárně použito útočníky k provádění spear-phishingových kampaní proti americké vládě. Tyto kampaně se zaměřovaly na e-mailové účty na vysoké úrovni s cílem ukrást přihlašovací údaje a získat přístup k cenným, často utajovaným informacím. Tato taktika je klíčovou součástí operační příručky COLDRIVER, která spojuje stealth a sociální inženýrství, aby přiměla uživatele ohrozit citlivé systémy.
Ministerstvo spravedlnosti poznamenalo, že aktéři hrozby porušili několik zákonů o přístupu k počítačům, včetně neoprávněného přístupu k vládním systémům a chráněným počítačům. Tyto škodlivé akce způsobily značné škody, což podtrhlo přetrvávající a vyvíjející se povahu moderní kybernetické kriminality.
Civilní akce společnosti Microsoft při řešení sítě COLDRIVER
Paralelně se zabavením domén podnikl Microsoft právní kroky k neutralizaci dalších 66 internetových domén spojených s COLDRIVER. Tyto domény byly použity k cílení na více než 30 subjektů a organizací občanské společnosti v období od ledna 2023 do srpna 2024, především se zaměřením na nevládní organizace a think-tanky, které podporují vládní zaměstnance, vojenský personál a zpravodajské úředníky. Operace skupiny se rozprostíraly napříč zeměmi NATO, jako je Spojené království a USA, se zvláštním zájmem o organizace poskytující podporu Ukrajině – jasný ukazatel geopolitických cílů Ruska.
Steven Masada, asistent hlavního právního zástupce v oddělení digitálních zločinů (DCU) společnosti Microsoft, zdůraznil závažnost těchto kampaní. „Operace Star Blizzardu jsou neúnavné a využívají důvěru, soukromí a známost každodenních digitálních interakcí,“ poznamenal. Zdůraznil, že skupina byla zvláště agresivní při zaměřování se na bývalé zpravodajské úředníky, odborníky na ruské záležitosti a dokonce i na ruské občany žijící v USA.
COLDRIVERovo neúnavné pronásledování dat
Od ledna 2023 Microsoft identifikoval 82 zákazníků, na které se COLDRIVER zaměřil, což je odrazem vytrvalosti skupiny. „Jejich frekvence podtrhuje pečlivost skupiny při identifikaci vysoce hodnotných cílů, vytváření personalizovaných phishingových e-mailů a vývoji potřebné infrastruktury pro krádeže pověření,“ dodal Masada. Toto neúnavné pronásledování ukazuje, že skupina neustále zdokonaluje své metody, aby si udržela náskok před obrannými opatřeními.
Oběti, které si často neuvědomují zlomyslný záměr těchto phishingových e-mailů, se nevědomky zabývají těmito podvodnými zprávami. V důsledku toho jsou ohroženy jejich přihlašovací údaje, což kyberzločincům umožňuje přístup k citlivým datům a sítím s vysokou hodnotou.
Krok vpřed v boji proti počítačové kriminalitě
Společné úsilí Microsoftu a vlády USA při obsazení těchto domén znamená kritické vítězství v probíhající válce proti státem podporovaným kyberútokům. I když tento zásah prozatím narušuje operace COLDRIVER, historie skupiny naznačuje, že se budou i nadále vyvíjet, takže je zásadní, aby vlády, organizace a jednotlivci zůstali ostražití.
Zabavení těchto domén je jen jedním krokem v širším úsilí o ochranu citlivých informací, zabezpečení digitální důvěry a pohnání kyberzločinců k odpovědnosti. Vzhledem k tomu, že se kybernetické hrozby neustále vyvíjejí, nelze přeceňovat význam robustních bezpečnostních opatření a koordinovaných globálních reakcí.