Stati Uniti e Microsoft infliggono un duro colpo alla frode informatica russa sequestrando 107 domini in una repressione globale
In una grande repressione delle frodi informatiche, Microsoft e il Dipartimento di Giustizia degli Stati Uniti (DoJ) hanno recentemente annunciato il sequestro di 107 domini Internet utilizzati da criminali informatici sponsorizzati dallo Stato russo . Questo sforzo fa parte di una battaglia in corso per frenare gli attacchi informatici, in particolare quelli legati al furto di informazioni sensibili e all'abuso della fiducia digitale.
Sommario
The Russian Connection: prendere di mira i dati degli americani
Questi domini, gestiti da attori di minacce informatiche legati al governo russo, sono stati utilizzati principalmente per facilitare frodi e abusi informatici. L'obiettivo del gruppo? Rubare informazioni sensibili degli americani, inducendo le vittime a rivelare credenziali di accesso tramite account di posta elettronica falsi ma convincenti. Il vice procuratore generale Lisa Monaco ha affermato: "Il governo russo ha gestito questo schema per rubare informazioni sensibili degli americani, utilizzando account di posta elettronica apparentemente legittimi per indurre le vittime a rivelare le credenziali dell'account".
I colpevoli dietro questi attacchi informatici sono attribuiti a un gruppo noto come COLDRIVER. Sebbene il nome possa non suonare immediatamente familiare, il gruppo è noto sotto una varietà di alias : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard e altri. COLDRIVER, noto anche come TAG-53 e UNC4057, è presumibilmente un'unità operativa del Servizio di sicurezza federale (FSB) russo, attiva almeno dal 2012.
Sanzioni e crescente pressione su COLDRIVER
Negli ultimi anni, gli sforzi delle forze dell'ordine contro il gruppo sono aumentati. Nel dicembre 2023, i governi del Regno Unito e degli Stati Uniti hanno imposto sanzioni a due dei membri più importanti di COLDRIVER : Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets. Questi individui sono stati individuati per il loro ruolo nella raccolta di credenziali e nel lancio di campagne di spear-phishing, sforzi altamente mirati volti a infiltrarsi nei sistemi di funzionari del governo degli Stati Uniti, personale militare e organizzazioni della società civile. Ulteriori sanzioni sono arrivate dal Consiglio europeo nel giugno 2024, continuando la pressione internazionale sul gruppo.
I domini: una porta d'accesso alle intrusioni informatiche
Tra i 107 domini sequestrati, 41 sono stati utilizzati principalmente dagli aggressori per eseguire campagne di spear-phishing contro il governo degli Stati Uniti. Queste campagne hanno preso di mira account di posta elettronica di alto livello con l'obiettivo di rubare credenziali e accedere a informazioni preziose, spesso classificate. Questa tattica è una parte fondamentale del playbook operativo di COLDRIVER, che unisce furtività e ingegneria sociale per indurre gli utenti a compromettere sistemi sensibili.
Il DoJ ha osservato che gli autori della minaccia hanno violato molteplici leggi sull'accesso ai computer, tra cui l'accesso non autorizzato ai sistemi governativi e ai computer protetti. Queste azioni dannose hanno causato danni significativi, sottolineando la natura persistente e in evoluzione del moderno crimine informatico.
Azione civile di Microsoft per affrontare la rete di COLDRIVER
Parallelamente ai sequestri di dominio, Microsoft ha intrapreso azioni legali per neutralizzare altri 66 domini Internet associati a COLDRIVER. Questi domini sono stati utilizzati per colpire oltre 30 entità e organizzazioni della società civile tra gennaio 2023 e agosto 2024, concentrandosi principalmente su ONG e think tank che supportano dipendenti governativi, personale militare e funzionari dell'intelligence. Le operazioni del gruppo si sono estese in paesi della NATO come Regno Unito e Stati Uniti, con un interesse particolare per le organizzazioni che forniscono supporto all'Ucraina, un chiaro indicatore degli obiettivi geopolitici della Russia.
Steven Masada, assistente del consulente generale presso la Digital Crimes Unit (DCU) di Microsoft, ha evidenziato la gravità di queste campagne. "Le operazioni di Star Blizzard sono implacabili, sfruttando la fiducia, la privacy e la familiarità delle interazioni digitali quotidiane", ha osservato. Ha sottolineato che il gruppo è stato particolarmente aggressivo nel prendere di mira ex funzionari dell'intelligence, esperti di affari russi e persino cittadini russi residenti negli Stati Uniti
La ricerca incessante di dati da parte di COLDRIVER
Da gennaio 2023, Microsoft ha identificato 82 clienti che sono stati presi di mira da COLDRIVER, a dimostrazione della persistenza del gruppo. "La loro frequenza sottolinea la diligenza del gruppo nell'identificare obiettivi di alto valore, creare e-mail di phishing personalizzate e sviluppare l'infrastruttura necessaria per il furto di credenziali", ha aggiunto Masada. Questa ricerca incessante dimostra che il gruppo sta costantemente perfezionando i propri metodi per rimanere al passo con le misure difensive.
Le vittime, spesso ignare dell'intento malevolo dietro queste e-mail di phishing, interagiscono inconsapevolmente con questi messaggi fraudolenti. Di conseguenza, le loro credenziali vengono compromesse, dando ai criminali informatici accesso a dati sensibili e reti di alto valore.
Un passo avanti nella lotta alla criminalità informatica
Gli sforzi congiunti di Microsoft e del governo degli Stati Uniti nel sequestro di questi domini segnano una vittoria critica nella guerra in corso contro gli attacchi informatici sponsorizzati dallo stato. Mentre questa repressione interrompe per ora le operazioni di COLDRIVER, la storia del gruppo suggerisce che continuerà a evolversi, rendendo fondamentale per governi, organizzazioni e individui rimanere vigili.
Il sequestro di questi domini è solo un passo in uno sforzo più ampio per proteggere le informazioni sensibili, garantire la fiducia digitale e ritenere responsabili i criminali informatici. Mentre le minacce informatiche continuano a evolversi, l'importanza di misure di sicurezza robuste e risposte globali coordinate non può essere sopravvalutata.