JAV ir „Microsoft“ smogė didžiulį smūgį Rusijos kibernetiniam sukčiavimui ir užgrobė 107 domenus per visuotinį susidorojimą
Siekdamos didelio masto susidoroti su kibernetiniu sukčiavimu, Microsoft ir JAV teisingumo departamentas (DoJ) neseniai paskelbė konfiskavę 107 interneto domenus, kuriuos naudoja Rusijos valstybės remiami kibernetiniai nusikaltėliai . Šios pastangos yra dalis vykstančios kovos siekiant pažaboti kibernetines atakas, ypač susijusias su neskelbtinos informacijos vagystėmis ir piktnaudžiavimu skaitmeniniu pasitikėjimu.
Turinys
Rusijos ryšys: taikymas amerikiečių duomenims
Šie domenai, kuriuos valdo su Rusijos vyriausybe susiję kibernetinės grėsmės veikėjai, pirmiausia buvo naudojami siekiant palengvinti kompiuterinį sukčiavimą ir piktnaudžiavimą. Grupės tikslas? Pavogti slaptą amerikiečių informaciją, priviliojant aukas, kad jos atskleistų prisijungimo duomenis per netikras, bet įtikinamas el. pašto paskyras. Generalinio prokuroro pavaduotoja Lisa Monaco pareiškė: „Rusijos vyriausybė vykdė šią schemą, kad pavogtų slaptą amerikiečių informaciją, naudodama iš pažiūros teisėtas el. pašto paskyras, kad apgautų aukas, kad jos atskleistų paskyros kredencialus.
Šių kibernetinių atakų kaltininkai priskiriami grupei, žinomai kaip COLDRIVER. Nors pavadinimas gali skambėti ne iš karto, grupė garsėja įvairiais slapyvardžiais : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard ir kt. Pranešama, kad COLDRIVER, dar vadinamas TAG-53 ir UNC4057, yra Rusijos Federalinės saugumo tarnybos (FSB) operatyvinis padalinys, veikiantis mažiausiai nuo 2012 m.
Sankcijos ir didėjantis spaudimas COLDRIVER
Pastaraisiais metais teisėsaugos pastangos suaktyvėjo prieš grupuotę. 2023 m. gruodžio mėn. JK ir JAV vyriausybės įvedė sankcijas dviem žymiems COLDRIVER nariams : Aleksandrovičiui Peretyatko ir Andrejui Stanislavovičiui Korinetsui. Šie asmenys buvo išskirti dėl jų vaidmens renkant kredencialus ir vykdant sukčiavimo spygliuotąsias kampanijas – itin tikslingas pastangas, kuriomis siekiama įsiskverbti į JAV vyriausybės pareigūnų, karinio personalo ir pilietinės visuomenės organizacijų sistemas. 2024 m. birželio mėn. Europos Vadovų Taryba paskelbė tolesnes sankcijas, tęsiant tarptautinį spaudimą grupei.
Domenai – vartai į kibernetinį įsibrovimą
Iš 107 konfiskuotų domenų 41 daugiausia naudojo užpuolikai, vykdydami sukčiavimo kampanijas prieš JAV vyriausybę. Šios kampanijos buvo skirtos aukšto lygio el. pašto paskyroms, siekiant pavogti kredencialus ir pasiekti vertingą, dažnai įslaptintą informaciją. Ši taktika yra pagrindinė COLDRIVER operacinės knygos dalis, sujungianti slaptą ir socialinę inžineriją, siekiant apgauti vartotojus, kad jie galėtų pažeisti jautrias sistemas.
DoJ pažymėjo, kad grėsmės veikėjai pažeidė kelis prieigos prie kompiuterių įstatymus, įskaitant neteisėtą prieigą prie vyriausybinių sistemų ir apsaugotus kompiuterius. Šie kenkėjiški veiksmai padarė didelę žalą, pabrėždami nuolatinį ir besikeičiantį šiuolaikinių elektroninių nusikaltimų pobūdį.
„Microsoft“ civilinis ieškinys kovojant su COLDRIVER tinklu
Kartu su domeno konfiskavimu „Microsoft“ ėmėsi teisinių veiksmų, kad neutralizuotų 66 papildomus interneto domenus, susijusius su COLDRIVER. Nuo 2023 m. sausio mėn. iki 2024 m. rugpjūčio mėn. šie domenai buvo naudojami daugiau nei 30 pilietinės visuomenės subjektų ir organizacijų, daugiausia dėmesio skiriant NVO ir ekspertų grupėms, remiančioms vyriausybės darbuotojus, karinį personalą ir žvalgybos pareigūnus. Grupės operacijos apėmė NATO šalis, tokias kaip JK ir JAV, ypač domimasi organizacijomis, teikiančiomis paramą Ukrainai – tai aiškus Rusijos geopolitinių tikslų rodiklis.
Stevenas Masada, Microsoft Digital Crimes Unit (DCU) generalinio advokato padėjėjas, pabrėžė šių kampanijų rimtumą. „Star Blizzard veikla yra negailestinga, išnaudojamas pasitikėjimas, privatumas ir kasdienės skaitmeninės sąveikos žinomumas“, – pažymėjo jis. Jis pabrėžė, kad grupuotė ypač agresyviai nusitaikė į buvusius žvalgybos pareigūnus, Rusijos reikalų ekspertus ir net JAV gyvenančius Rusijos piliečius.
COLDRIVER nenuilstamas duomenų ieškojimas
Nuo 2023 m. sausio mėn. „Microsoft“ nustatė 82 klientus, į kuriuos COLDRIVER taikėsi, o tai atspindi grupės atkaklumą. „Jų dažnumas pabrėžia grupės kruopštumą nustatant didelės vertės taikinius, kuriant suasmenintus sukčiavimo el. laiškus ir kuriant reikiamą infrastruktūrą kredencialų vagystėms“, – pridūrė Masada. Šis nenumaldomas siekis rodo, kad grupė nuolat tobulina savo metodus, siekdama aplenkti gynybines priemones.
Aukos, dažnai nežinodamos apie piktybinius ketinimus, slypinčius už šių sukčiavimo el. laiškų, nesąmoningai įsitraukia į šiuos apgaulingus pranešimus. Dėl to pažeidžiami jų įgaliojimai, suteikiant kibernetiniams nusikaltėliams prieigą prie jautrių duomenų ir didelės vertės tinklų.
Žingsnis į priekį kovojant su elektroniniais nusikaltimais
Bendros „Microsoft“ ir JAV vyriausybės pastangos užvaldant šiuos domenus žymi svarbią pergalę vykstančiame kare prieš valstybės remiamas kibernetines atakas. Nors šis susidorojimas sutrikdo COLDRIVER veiklą, grupės istorija rodo, kad jos toliau vystysis, todėl vyriausybėms, organizacijoms ir asmenims labai svarbu išlikti budriems.
Šių domenų užgrobimas yra tik vienas žingsnis siekiant apsaugoti neskelbtiną informaciją, užtikrinti skaitmeninį pasitikėjimą ir patraukti atsakomybėn kibernetinius nusikaltėlius. Kadangi kibernetinės grėsmės ir toliau vystosi, negalima pervertinti patikimų saugumo priemonių ir koordinuotų pasaulinių reakcijų svarbos.