USA og Microsoft slår et stort slag mod russisk cybersvindel, der beslaglægger 107 domæner i globalt nedslag
I en større indsats mod cybersvindel annoncerede Microsoft og det amerikanske justitsministerium (DoJ) for nylig beslaglæggelsen af 107 internetdomæner, der bruges af russiske statssponsorerede cyberkriminelle . Denne indsats er en del af en igangværende kamp for at dæmme op for cyberangreb, især dem, der er forbundet med tyveri af følsom information og misbrug af digital tillid.
Indholdsfortegnelse
Den russiske forbindelse: Målretning af amerikanernes data
Disse domæner, drevet af cybertrusselsaktører knyttet til den russiske regering, blev primært brugt til at lette computersvindel og -misbrug. Gruppens mål? At stjæle amerikanernes følsomme oplysninger ved at lokke ofre til at afsløre loginoplysninger via falske, men overbevisende e-mail-konti. Viceanklager Lisa Monaco udtalte: "Den russiske regering kørte denne ordning for at stjæle amerikanernes følsomme oplysninger ved at bruge tilsyneladende legitime e-mail-konti til at narre ofrene til at afsløre kontooplysninger."
De skyldige bag disse cyberangreb tilskrives en gruppe kendt som COLDRIVER. Selvom navnet måske ikke umiddelbart ringer en klokke, er gruppen berygtet under en række aliaser : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard og mere. COLDRIVER, også omtalt som TAG-53 og UNC4057, er angiveligt en operationel enhed under Ruslands føderale sikkerhedstjeneste (FSB), aktiv siden mindst 2012.
Sanktioner og det voksende pres på COLDRIVER
I de seneste år er retshåndhævelsesindsatsen steget op mod gruppen. I december 2023 indførte den britiske og amerikanske regering sanktioner mod to af COLDRIVERs fremtrædende medlemmer : Aleksandrovich Peretyatko og Andrey Stanislavovich Korinets. Disse personer blev udpeget for deres roller i at høste legitimationsoplysninger og lancere spyd-phishing-kampagner - meget målrettede indsatser rettet mod at infiltrere systemerne hos amerikanske regeringsembedsmænd, militært personel og civilsamfundsorganisationer. Yderligere sanktioner kom fra Det Europæiske Råd i juni 2024, hvilket fortsatte det internationale pres på gruppen.
Domænerne - en port til cyberindtrængen
Blandt de 107 beslaglagte domæner blev 41 primært brugt af angriberne til at udføre spear-phishing-kampagner mod den amerikanske regering. Disse kampagner målrettede e-mailkonti på højt niveau med det formål at stjæle legitimationsoplysninger og få adgang til værdifuld, ofte klassificeret information. Denne taktik er en vigtig del af COLDRIVER's operationelle spillebog, der blander stealth og social engineering for at narre brugere til at kompromittere følsomme systemer.
DoJ bemærkede, at trusselsaktørerne overtrådte flere love om computeradgang, herunder uautoriseret adgang til offentlige systemer og beskyttede computere. Disse ondsindede handlinger forårsagede betydelig skade, hvilket understreger den vedvarende og udviklende karakter af moderne cyberkriminalitet.
Microsofts civile handling i tackling af COLDRIVER's netværk
Parallelt med domænebeslaglæggelserne tog Microsoft juridiske skridt for at neutralisere yderligere 66 internetdomæner, der er forbundet med COLDRIVER. Disse domæner blev brugt til at målrette over 30 civilsamfundsenheder og organisationer mellem januar 2023 og august 2024, primært med fokus på ngo'er og tænketanke, der støtter statsansatte, militært personel og efterretningstjenestemænd. Gruppens operationer spændte over NATO-lande som Storbritannien og USA, med en særlig interesse i organisationer, der yder støtte til Ukraine – en klar indikator for Ruslands geopolitiske mål.
Steven Masada, assisterende generaladvokat hos Microsofts Digital Crimes Unit (DCU), fremhævede alvoren af disse kampagner. "Star Blizzards operationer er ubarmhjertige og udnytter tilliden, privatlivets fred og kendskabet til hverdagens digitale interaktioner," bemærkede han. Han understregede, at gruppen har været særlig aggressiv med hensyn til at angribe tidligere efterretningstjenestemænd, eksperter i russiske anliggender og endda russiske statsborgere bosat i USA
COLDRIVER's nådesløse jagt på data
Siden januar 2023 har Microsoft identificeret 82 kunder, der er blevet målrettet af COLDRIVER, hvilket afspejler gruppens vedholdenhed. "Deres hyppighed understreger gruppens flid med at identificere mål af høj værdi, udarbejde personlige phishing-e-mails og udvikle den nødvendige infrastruktur til legitimationstyveri," tilføjede Masada. Denne ubønhørlige forfølgelse viser, at gruppen konstant raffinerer sine metoder for at være på forkant med defensive foranstaltninger.
Ofre, ofte uvidende om den ondsindede hensigt bag disse phishing-e-mails, engagerer sig ubevidst med disse svigagtige beskeder. Som et resultat bliver deres legitimationsoplysninger kompromitteret, hvilket giver cyberkriminelle adgang til følsomme data og netværk af høj værdi.
Et skridt fremad i kampen mod cyberkriminalitet
Microsofts og den amerikanske regerings fælles bestræbelser på at beslaglægge disse domæner markerer en kritisk sejr i den igangværende krig mod statssponsorerede cyberangreb. Selvom dette undertrykkelse forstyrrer COLDRIVERs operationer indtil videre, tyder gruppens historie på, at de vil fortsætte med at udvikle sig, hvilket gør det afgørende for regeringer, organisationer og enkeltpersoner at forblive på vagt.
Beslaglæggelsen af disse domæner er blot et skridt i en bredere indsats for at beskytte følsomme oplysninger, sikre digital tillid og holde cyberkriminelle ansvarlige. I takt med at cybertrusler fortsætter med at udvikle sig, kan vigtigheden af robuste sikkerhedsforanstaltninger og koordinerede globale reaktioner ikke overvurderes.