USA ja Microsoft andsid Venemaa küberpettustele suure löögi, haarates globaalse mahasurumise käigus 107 domeeni
Microsoft ja USA justiitsministeerium (DoJ) teatasid hiljuti küberpettuste vastase ulatusliku mahasurumise käigus 107 Interneti-domeeni arestimisest, mida kasutavad Venemaa riiklikult toetatud küberkurjategijad . See jõupingutus on osa käimasolevast võitlusest küberrünnakute ohjeldamiseks, eriti tundliku teabe varguse ja digitaalse usalduse kuritarvitamisega seotud küberrünnakute ohjeldamiseks.
Sisukord
Venemaa ühendus: ameeriklaste andmete sihtimine
Neid domeene, mida haldavad Venemaa valitsusega seotud küberohtude esindajad, kasutati peamiselt arvutipettuste ja kuritarvitamise hõlbustamiseks. Grupi eesmärk? Varastada ameeriklaste tundlikku teavet, meelitades ohvreid võltsitud, kuid veenvate meilikontode kaudu sisselogimismandaate avaldama. Peaprokuröri asetäitja Lisa Monaco ütles: "Vene valitsus kasutas seda skeemi, et varastada ameeriklaste tundlikku teavet, kasutades näiliselt legitiimseid meilikontosid, et petta ohvreid konto mandaate avaldama."
Nende küberrünnakute süüdlased on omistatud rühmale, mida tuntakse nime all COLDRIVER. Ehkki nimi ei pruugi kohe kõlada, on grupp kurikuulus mitmesuguste varjunimede all : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard ja palju muud. COLDRIVER, mida nimetatakse ka TAG-53 ja UNC4057, on väidetavalt Venemaa Föderaalse Julgeolekuteenistuse (FSB) alluvuses tegutsev üksus, mis on tegutsenud vähemalt 2012. aastast.
Sanktsioonid ja kasvav surve COLDRIVERile
Viimastel aastatel on jõupingutused rühmituse vastu hoogustunud. 2023. aasta detsembris kehtestasid Ühendkuningriigi ja USA valitsused sanktsioonid kahele COLDRIVERi prominentsele liikmele : Aleksandrovitš Peretjatko ja Andrei Stanislavovitš Korinetsile. Neid isikuid tõsteti esile nende rolli eest volikirjade kogumisel ja andmepüügikampaaniate käivitamisel – väga sihipärased jõupingutused, mille eesmärk oli tungida USA valitsusametnike, sõjaväelaste ja kodanikuühiskonna organisatsioonide süsteemi. Täiendavad sanktsioonid tulid Euroopa Ülemkogult 2024. aasta juunis, jätkates rahvusvahelist survet rühmale.
Domeenid – värav kübersissetungidesse
107 arestitud domeenist 41 kasutasid ründajad peamiselt USA valitsuse vastu suunatud andmepüügikampaaniate läbiviimiseks. Need kampaaniad olid suunatud kõrgetasemelistele meilikontodele, eesmärgiga varastada mandaate ja pääseda juurde väärtuslikule, sageli salastatud teabele. See taktika on COLDRIVERi tööjuhendi võtmeosa, mis ühendab varjamise ja sotsiaalse insenerluse, et meelitada kasutajaid tundlikke süsteeme ohustama.
DoJ märkis, et ohustajad rikkusid mitut arvutile juurdepääsu seadust, sealhulgas volitamata juurdepääsu valitsussüsteemidele ja kaitstud arvutitele. Need pahatahtlikud tegevused põhjustasid märkimisväärset kahju, rõhutades kaasaegse küberkuritegevuse püsivat ja arenevat olemust.
Microsofti tsiviilhagi COLDRIVERi võrgu vastu võitlemisel
Paralleelselt domeenide arestimisega astus Microsoft juriidilisi samme, et neutraliseerida 66 täiendavat COLDRIVERiga seotud Interneti-domeeni. Neid domeene kasutati ajavahemikus 2023. aasta jaanuarist kuni 2024. aasta augustini enam kui 30 kodanikuühiskonna üksuse ja organisatsiooni sihtimiseks, keskendudes peamiselt valitsusvälistele organisatsioonidele ja mõttekodadele, mis toetavad valitsuse töötajaid, sõjaväelasi ja luureametnikke. Grupi operatsioonid hõlmasid NATO riike, nagu Ühendkuningriik ja USA, ning eriti huvitati Ukrainat toetavate organisatsioonide vastu – see on selge näitaja Venemaa geopoliitilistest eesmärkidest.
Microsofti digitaalkuritegude üksuse (DCU) peajurist Steven Masada rõhutas nende kampaaniate tõsidust. "Star Blizzardi tegevus on järeleandmatu, kasutades ära igapäevase digitaalse suhtluse usaldust, privaatsust ja tuttavlikkust," märkis ta. Ta rõhutas, et rühmitus on olnud eriti agressiivne endiste luureametnike, Venemaa asjade ekspertide ja isegi USA-s elavate Venemaa kodanike vastu.
COLDRIVERi järeleandmatu andmete otsimine
Alates 2023. aasta jaanuarist on Microsoft tuvastanud 82 klienti, keda COLDRIVER on sihikule võtnud, mis peegeldab grupi püsivust. "Nende sagedus rõhutab grupi hoolsust väärtuslike sihtmärkide tuvastamisel, isikupärastatud andmepüügimeilide koostamisel ja mandaadivarguste jaoks vajaliku infrastruktuuri väljatöötamisel," lisas Masada. See järeleandmatu püüdlus näitab, et rühmitus täiustab pidevalt oma meetodeid, et kaitsemeetmetest ette jääda.
Ohvrid, kes sageli pole teadlikud nende andmepüügimeilide taga olevatest pahatahtlikest kavatsustest, puutuvad nende petturlike sõnumitega teadmatult kokku. Selle tulemusena on nende volitused ohustatud, võimaldades küberkurjategijatele juurdepääsu tundlikele andmetele ja väärtuslikele võrkudele.
Samm edasi küberkuritegevuse vastases võitluses
Microsofti ja USA valitsuse ühised jõupingutused nende domeenide hõivamiseks tähistavad kriitilist võitu käimasolevas sõjas riigi toetatud küberrünnakute vastu. Kuigi see mahasurumine häirib COLDRIVERi tegevust praegu, viitab grupi ajalugu, et need arenevad edasi, mistõttu on valitsuste, organisatsioonide ja üksikisikute jaoks ülioluline valvsus.
Nende domeenide arestimine on vaid üks samm laiemas jõupingutuses kaitsta tundlikku teavet, turvata digitaalset usaldust ja võtta küberkurjategijad vastutusele. Kuna küberohud arenevad jätkuvalt, ei saa jõuliste turvameetmete ja koordineeritud ülemaailmsete reageeringute tähtsust üle tähtsustada.