Yhdysvallat ja Microsoft iskevät suuren iskun venäläisille verkkopetoksille, jotka takavariksivat 107 verkkotunnusta maailmanlaajuisessa ryöstössä
Microsoft ja Yhdysvaltain oikeusministeriö (DoJ) ilmoittivat äskettäin 107 Venäjän valtion tukemien kyberrikollisten käyttämän Internet-verkkotunnuksen takavarikointia laajassa kyberpetosten torjunnassa. Tämä pyrkimys on osa jatkuvaa taistelua kyberhyökkäysten hillitsemiseksi, erityisesti arkaluonteisiin tietovarkauksiin ja digitaalisen luottamuksen väärinkäyttöön liittyvien hyökkäysten torjumiseksi.
Sisällysluettelo
Venäjän yhteys: kohdistaminen amerikkalaisten tietoihin
Näitä Venäjän hallitukseen sidoksissa olevien kyberuhkatoimijoiden ylläpitämiä verkkotunnuksia käytettiin ensisijaisesti tietokonepetosten ja väärinkäytösten helpottamiseksi. Ryhmän tavoite? Varastaa amerikkalaisten arkaluonteisia tietoja houkuttelemalla uhreja paljastamaan kirjautumistiedot väärennetyillä mutta vakuuttavilla sähköpostitileillä. Apulaisoikeusministeri Lisa Monaco totesi: "Venäjän hallitus toteutti tämän suunnitelman varastaakseen amerikkalaisten arkaluontoisia tietoja käyttämällä näennäisesti laillisia sähköpostitilejä huijatakseen uhreja paljastamaan tilitunnuksensa."
Näiden kyberhyökkäysten takana olevat syylliset katsotaan COLDRIVER-ryhmäksi. Vaikka nimi ei välttämättä soi heti kelloa, ryhmä on pahamaineinen useilla aliaksilla : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard ja monet muut. COLDRIVER, josta käytetään myös nimiä TAG-53 ja UNC4057, on tiettävästi Venäjän liittovaltion turvallisuuspalvelun (FSB) alainen operatiivinen yksikkö, joka on toiminut ainakin vuodesta 2012 lähtien.
Pakotteet ja kasvava paine COLDRIVERiin
Viime vuosina lainvalvontatoimet ovat kiihtyneet ryhmää vastaan. Joulukuussa 2023 Yhdistyneen kuningaskunnan ja Yhdysvaltojen hallitukset määräsivät pakotteita kahdelle COLDRIVERin merkittävälle jäsenelle : Aleksandrovich Peretyatkolle ja Andrey Stanislavovich Korinetsille. Nämä henkilöt erotettiin heidän roolistaan valtakirjojen keräämisessä ja keihäänkalastelukampanjoiden käynnistämisessä – tarkasti kohdistetuilla ponnisteluilla, joiden tarkoituksena oli soluttautua Yhdysvaltain hallituksen virkamiesten, sotilashenkilöstön ja kansalaisyhteiskunnan organisaatioiden järjestelmiin. Kesäkuussa 2024 kokoontunut Eurooppa-neuvosto määräsi lisäpakotteita, mikä jatkoi ryhmään kohdistuvaa kansainvälistä painetta.
Verkkotunnukset – portti verkkotunkeutumiseen
Hyökkääjät käyttivät 107:stä takavarikoidusta verkkotunnuksesta pääasiassa keihäänkalastelukampanjoita Yhdysvaltain hallitusta vastaan. Nämä kampanjat kohdistettiin korkean tason sähköpostitileihin, joiden tarkoituksena oli varastaa tunnistetiedot ja saada arvokasta, usein turvaluokiteltua tietoa. Tämä taktiikka on keskeinen osa COLDRIVERin toiminnallista pelikirjaa, ja se yhdistää varkain ja sosiaalisen suunnittelun huijatakseen käyttäjät vaarantamaan herkkiä järjestelmiä.
Oikeusministeriö huomautti, että uhkatekijät rikkoivat useita tietokoneiden käyttöoikeuksia koskevia lakeja, mukaan lukien luvaton pääsy valtion järjestelmiin ja suojattuihin tietokoneisiin. Nämä haitalliset toimet aiheuttivat merkittävää vahinkoa, mikä korosti nykyaikaisen tietoverkkorikollisuuden jatkuvaa ja kehittyvää luonnetta.
Microsoftin siviilitoimi COLDRIVER-verkkoa vastaan
Samanaikaisesti verkkotunnusten takavarikoinnin kanssa Microsoft ryhtyi oikeudellisiin toimiin neutraloidakseen 66 muuta COLDRIVERiin liittyvää Internet-verkkotunnusta. Näitä verkkotunnuksia käytettiin yli 30:lle kansalaisyhteiskunnan taholle ja organisaatiolle tammikuun 2023 ja elokuun 2024 välisenä aikana, ja keskityttiin ensisijaisesti kansalaisjärjestöihin ja ajatushautoihin, jotka tukevat valtion työntekijöitä, sotilaita ja tiedusteluviranomaisia. Ryhmän toiminta ulottui Nato-maihin, kuten Isoon-Britanniaan ja Yhdysvaltoihin, ja se on erityisen kiinnostunut Ukrainaa tukevista organisaatioista, mikä on selkeä osoitus Venäjän geopoliittisista tavoitteista.
Steven Masada, Microsoftin digitaalisten rikosten yksikön (DCU) apulaislakimies, korosti näiden kampanjoiden vakavuutta. "Star Blizzardin toiminta on säälimätöntä, ja se hyödyntää arjen digitaalisen vuorovaikutuksen luottamusta, yksityisyyttä ja tuttua", hän huomautti. Hän korosti, että ryhmä on ollut erityisen aggressiivinen kohdistaessaan entisiä tiedusteluviranomaisia, Venäjä-asioiden asiantuntijoita ja jopa Yhdysvalloissa asuvia Venäjän kansalaisia.
COLDRIVERin säälimätön tiedonhaku
Tammikuun 2023 jälkeen Microsoft on tunnistanut 82 asiakasta, jotka ovat olleet COLDRIVERin kohteena, mikä on osoitus konsernin sinnikkyydestä. "Heidän esiintymistiheys korostaa ryhmän ahkeruutta arvokkaiden kohteiden tunnistamisessa, henkilökohtaisten tietojenkalasteluviestien luomisessa ja tarvittavan infrastruktuurin kehittämisessä tunnistetietojen varkauksia varten", Masada lisäsi. Tämä säälimätön pyrkimys osoittaa, että ryhmä jalostaa jatkuvasti menetelmiään pysyäkseen puolustustoimien edellä.
Uhrit, jotka eivät usein tiedä näiden tietojenkalasteluviestien takana olevasta ilkeästä tarkoituksesta, ovat tietämättään tekemisissä näiden vilpillisten viestien kanssa. Tämän seurauksena heidän tunnistetiedot vaarantuvat, mikä antaa kyberrikollisille pääsyn arkaluontoisiin tietoihin ja arvokkaisiin verkkoihin.
Askel eteenpäin taistelussa tietoverkkorikollisuutta vastaan
Microsoftin ja Yhdysvaltain hallituksen yhteiset ponnistelut näiden verkkotunnusten haltuunotossa merkitsevät kriittistä voittoa käynnissä olevassa sodassa valtion tukemia kyberhyökkäyksiä vastaan. Vaikka tämä tukahduttaminen häiritsee COLDRIVERin toimintaa toistaiseksi, ryhmän historia viittaa siihen, että ne kehittyvät edelleen, mikä tekee hallitusten, organisaatioiden ja yksilöiden valppauden pysymisen ratkaisevan tärkeäksi.
Näiden verkkotunnusten takavarikointi on vain yksi askel laajemmassa pyrkimyksessä suojella arkaluonteisia tietoja, turvata digitaalinen luottamus ja saattaa kyberrikolliset vastuuseen. Kyberuhkien kehittyessä vankkojen turvatoimien ja koordinoitujen maailmanlaajuisten toimien merkitystä ei voi liioitella.