ארה"ב ומיקרוסופט תקפו מכה גדולה בהונאת הסייבר הרוסית כשהיא משתלטת על 107 דומיינים בפיצוח עולמי
במאבק גדול נגד הונאת סייבר, מיקרוסופט ומשרד המשפטים האמריקאי (DoJ) הכריזו לאחרונה על תפיסת 107 דומיינים באינטרנט המשמשים פושעי סייבר בחסות המדינה הרוסית . מאמץ זה הוא חלק ממאבק מתמשך לבלימת התקפות סייבר, במיוחד אלו הקשורות לגניבת מידע רגיש וניצול לרעה של אמון דיגיטלי.
תוכן העניינים
הקשר הרוסי: מיקוד לנתונים של אמריקאים
דומיינים אלה, המנוהלים על ידי גורמי איומי סייבר הקשורים לממשלת רוסיה, שימשו בעיקר כדי להקל על הונאה והתעללות במחשבים. המטרה של הקבוצה? לגנוב מידע רגיש של אמריקאים על ידי פיתוי קורבנות לחשוף אישורי כניסה באמצעות חשבונות אימייל מזויפים אך משכנעים. סגנית התובע הכללי ליסה מונקו הצהירה, "הממשלה הרוסית ניהלה את התוכנית הזו לגנוב מידע רגיש של אמריקאים, תוך שימוש בחשבונות דוא"ל לגיטימיים לכאורה כדי להערים על קורבנות לחשוף אישורי חשבון."
האשמים מאחורי מתקפות הסייבר הללו מיוחסים לקבוצה המכונה COLDRIVER. למרות שהשם אולי לא מצלצל מיד, הקבוצה ידועה לשמצה תחת מגוון כינויים : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard ועוד. COLDRIVER, המכונה גם TAG-53 ו-UNC4057, היא על פי הדיווחים יחידה מבצעית תחת שירות הביטחון הפדרלי של רוסיה (FSB), הפעילה מאז 2012 לפחות.
סנקציות והלחץ הגובר על COLDRIVER
בשנים האחרונות גברו מאמצי אכיפת החוק נגד הקבוצה. בדצמבר 2023, ממשלות בריטניה וארה"ב הטילו סנקציות על שניים מהחברים הבולטים של COLDRIVER : אלכסנדרוביץ' פרטיאטקו ואנדריי סטניסלבוביץ' קורינטס. אנשים אלו נבחרו על תפקידיהם בקצירת אישורים והשקת קמפיינים של דיוג חנית - מאמצים ממוקדים ביותר שמטרתם לחדור למערכות של פקידי ממשל ארה"ב, אנשי צבא וארגוני חברה אזרחית. סנקציות נוספות הגיעו מהמועצה האירופית ביוני 2024, והמשיכו את הלחץ הבינלאומי על הקבוצה.
הדומיינים - שער לפריצות סייבר
מבין 107 הדומיינים שנתפסו, 41 שימשו בעיקר את התוקפים לביצוע מסעות דיוג בחנית נגד ממשלת ארה"ב. מסעות פרסום אלה כוונו לחשבונות דוא"ל ברמה גבוהה במטרה לגנוב אישורים ולגשת למידע בעל ערך, לעתים קרובות מסווג. טקטיקה זו היא חלק מרכזי בספר המשחקים התפעולי של COLDRIVER, המשלבת התגנבות והנדסה חברתית כדי להערים על משתמשים להתפשר על מערכות רגישות.
משרד המשפטים ציין כי גורמי האיום הפרו חוקי גישה למחשבים רבים, כולל גישה לא מורשית למערכות ממשלתיות ולמחשבים מוגנים. פעולות זדוניות אלו גרמו לנזק משמעותי, והדגישו את האופי המתמשך והמתפתח של פשעי הסייבר המודרניים.
הפעולה האזרחית של מיקרוסופט בהתמודדות עם הרשת של COLDRIVER
במקביל לתפיסות הדומיינים, מיקרוסופט נקטה בצעדים משפטיים לנטרול 66 דומיינים נוספים באינטרנט הקשורים ל-COLDRIVER. תחומים אלה שימשו למטרות של למעלה מ-30 ישויות וארגונים בחברה האזרחית בין ינואר 2023 לאוגוסט 2024, בעיקר התמקדות בארגונים לא ממשלתיים ובצוותי חשיבה התומכים בעובדי ממשלה, אנשי צבא ופקידי מודיעין. פעולות הקבוצה השתרעו על פני מדינות נאט"ו כמו בריטניה וארה"ב, עם עניין מיוחד בארגונים המספקים תמיכה לאוקראינה - אינדיקטור ברור למטרות הגיאו-פוליטיות של רוסיה.
סטיבן מצדה, עוזר היועץ המשפטי ביחידת הפשעים הדיגיטליים של מיקרוסופט (DCU), הדגיש את חומרת הקמפיינים הללו. "הפעולות של Star Blizzard הן בלתי פוסקות, מנצלות את האמון, הפרטיות וההיכרות של אינטראקציות דיגיטליות יומיומיות", הוא ציין. הוא הדגיש כי הקבוצה הייתה אגרסיבית במיוחד בכוונה לפקידי מודיעין לשעבר, מומחים לענייני רוסיה ואפילו אזרחים רוסים המתגוררים בארה"ב.
המרדף הבלתי פוסק של COLDRIVER אחר נתונים
מאז ינואר 2023, מיקרוסופט זיהתה 82 לקוחות ש-COLDRIVER מתמקד בהם, שיקוף של התמדה של הקבוצה. "התדירות שלהם מדגישה את החריצות של הקבוצה בזיהוי יעדים בעלי ערך גבוה, יצירת מיילים דיוגים מותאמים אישית ופיתוח התשתית הדרושה לגניבת אישורים", הוסיפה מצדה. המרדף הבלתי פוסק הזה מוכיח שהקבוצה כל הזמן משכללת את השיטות שלה כדי להקדים את צעדי ההגנה.
קורבנות, שלעתים קרובות אינם מודעים לכוונת הזדון שמאחורי הודעות הדוא"ל התחזות הללו, מעורבים בלא יודעין עם הודעות הונאה אלו. כתוצאה מכך, האישורים שלהם נפגעים, ומעניקים לפושעי סייבר גישה לנתונים רגישים ולרשתות בעלות ערך גבוה.
צעד קדימה במאבק בפשעי סייבר
המאמצים המשותפים של מיקרוסופט וממשלת ארה"ב בתפיסת התחומים הללו מסמנים ניצחון קריטי במלחמה המתמשכת נגד מתקפות סייבר בחסות המדינה. למרות שהפיצוץ הזה משבש את פעילותה של COLDRIVER לעת עתה, ההיסטוריה של הקבוצה מעידה שהם ימשיכו להתפתח, מה שהופך את זה חיוני לממשלות, ארגונים ויחידים להישאר ערניים.
תפיסת הדומיינים הללו היא רק צעד אחד במאמץ רחב יותר להגן על מידע רגיש, לאבטח אמון דיגיטלי ולחייב פושעי סייבר באחריות. ככל שאיומי הסייבר ממשיכים להתפתח, לא ניתן להפריז בחשיבותם של אמצעי אבטחה חזקים ותגובות גלובליות מתואמות.