ASV un Microsoft sniedz lielu triecienu Krievijas kiberkrāpšanai, sagrābjot 107 domēnus globālā uzbrukumā
Veicot lielu represiju pret kiberkrāpšanu, Microsoft un ASV Tieslietu ministrija (DoJ) nesen paziņoja par 107 interneta domēnu konfiskāciju, ko izmanto Krievijas valsts atbalstītie kibernoziedznieki . Šie centieni ir daļa no notiekošās cīņas, lai ierobežotu kiberuzbrukumus, jo īpaši tos, kas saistīti ar sensitīvas informācijas zādzībām un digitālās uzticības ļaunprātīgu izmantošanu.
Satura rādītājs
Krievijas savienojums: mērķēšana uz amerikāņu datiem
Šie domēni, kurus pārvalda ar Krievijas valdību saistīti kiberdraudu dalībnieki, galvenokārt tika izmantoti, lai veicinātu datoru krāpšanu un ļaunprātīgu izmantošanu. Grupas mērķis? Nozagt amerikāņu sensitīvo informāciju, pievilinot upurus atklāt pieteikšanās akreditācijas datus, izmantojot viltotus, bet pārliecinošus e-pasta kontus. Ģenerālprokurora vietniece Liza Monako paziņoja: "Krievijas valdība īstenoja šo shēmu, lai nozagtu amerikāņu sensitīvu informāciju, izmantojot šķietami likumīgus e-pasta kontus, lai apmānītu upurus, lai tie atklātu konta akreditācijas datus."
Šo kiberuzbrukumu vainīgie tiek attiecināti uz grupu, kas pazīstama kā COLDRIVER. Lai gan nosaukums var uzreiz neatskanēt, grupa ir bēdīgi slavena ar dažādiem pseidonīmiem : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard un citiem. Tiek ziņots, ka COLDRIVER, saukts arī par TAG-53 un UNC4057, ir Krievijas Federālā drošības dienesta (FSB) operatīvā vienība, kas darbojas vismaz kopš 2012. gada.
Sankcijas un pieaugošais spiediens uz COLDRIVER
Pēdējos gados pret grupu ir vērsti tiesībaizsardzības pasākumi. 2023. gada decembrī Apvienotās Karalistes un ASV valdības noteica sankcijas diviem COLDRIVER ievērojamiem dalībniekiem : Aleksandrovičam Peretjatko un Andrejam Staņislavovičam Korinetsam. Šīs personas tika izceltas par viņu lomu akreditācijas datu iegūšanā un pikšķerēšanas kampaņu uzsākšanā — ļoti mērķtiecīgiem centieniem, kuru mērķis bija iefiltrēties ASV valdības amatpersonu, militārpersonu un pilsoniskās sabiedrības organizāciju sistēmās. Eiropadome 2024. gada jūnijā noteica papildu sankcijas, turpinot starptautisko spiedienu uz grupu.
Domēni — vārti uz kiberielaušanos
No 107 konfiscētajiem domēniem 41 uzbrucēji galvenokārt izmantoja, lai īstenotu pikšķerēšanas kampaņas pret ASV valdību. Šīs kampaņas bija vērstas uz augsta līmeņa e-pasta kontiem, lai nozagtu akreditācijas datus un piekļūtu vērtīgai, bieži vien klasificētai informācijai. Šī taktika ir COLDRIVER darbības rokasgrāmatas galvenā sastāvdaļa, kas apvieno slepenību un sociālo inženieriju, lai krāptu lietotājus, lai tie apdraudētu jutīgas sistēmas.
Tieslietu ministrija norādīja, ka apdraudējuma dalībnieki pārkāpa vairākus datoru piekļuves likumus, tostarp neatļautu piekļuvi valdības sistēmām un aizsargātiem datoriem. Šīs ļaunprātīgās darbības radīja ievērojamu kaitējumu, uzsverot mūsdienu kibernoziedzības pastāvīgo un mainīgo raksturu.
Microsoft civilprasība COLDRIVER tīkla risināšanā
Paralēli domēnu konfiskācijām Microsoft veica juridiskas darbības, lai neitralizētu 66 papildu interneta domēnus, kas saistīti ar COLDRIVER. Šie domēni tika izmantoti, lai no 2023. gada janvāra līdz 2024. gada augustam atlasītu vairāk nekā 30 pilsoniskās sabiedrības vienību un organizāciju, galvenokārt koncentrējoties uz NVO un ideju laboratorijām, kas atbalsta valdības darbiniekus, militārpersonas un izlūkošanas amatpersonas. Grupas operācijas aptvēra NATO valstis, piemēram, Apvienoto Karalisti un ASV, īpaši interesējoties par organizācijām, kas sniedz atbalstu Ukrainai, kas ir skaidrs Krievijas ģeopolitisko mērķu rādītājs.
Stīvens Masada, Microsoft Digital Crimes Unit (DCU) ģenerāladvokāta palīgs, uzsvēra šo kampaņu nopietnību. "Star Blizzard darbība ir nerimstoša, izmantojot ikdienas digitālās mijiedarbības uzticību, privātumu un pazīstamību," viņš atzīmēja. Viņš uzsvēra, ka grupa ir bijusi īpaši agresīva, vēršoties pret bijušajām izlūkdienestu amatpersonām, Krievijas lietu ekspertiem un pat Krievijas pilsoņiem, kas dzīvo ASV.
COLDRIVER nerimstošā datu meklēšana
Kopš 2023. gada janvāra Microsoft identificēja 82 klientus, uz kuriem COLDRIVER ir pievērsies, un tas liecina par grupas neatlaidību. "To biežums uzsver grupas centību identificēt augstvērtīgus mērķus, veidojot personalizētus pikšķerēšanas e-pastus un attīstot nepieciešamo infrastruktūru akreditācijas datu zādzībām," piebilda Masada. Šī nerimstošā tiekšanās pierāda, ka grupa pastāvīgi pilnveido savas metodes, lai paliktu priekšā aizsardzības pasākumiem.
Cietušie, kas bieži neapzinās šo pikšķerēšanas e-pasta ziņojumu ļaunprātīgo nolūku, neapzināti iesaistās šajos krāpnieciskajos ziņojumos. Rezultātā viņu akreditācijas dati tiek apdraudēti, nodrošinot kibernoziedzniekiem piekļuvi sensitīviem datiem un augstvērtīgiem tīkliem.
Solis uz priekšu cīņā pret kibernoziedzību
Microsoft un ASV valdības kopīgie centieni šo domēnu sagrābšanā iezīmē kritisku uzvaru notiekošajā karā pret valsts sponsorētiem kiberuzbrukumiem. Lai gan šī apspiešana pašlaik traucē COLDRIVER darbību, grupas vēsture liecina, ka tās turpinās attīstīties, tāpēc valdībām, organizācijām un privātpersonām ir ļoti svarīgi saglabāt modrību.
Šo domēnu konfiscēšana ir tikai viens solis plašākos centienos aizsargāt sensitīvu informāciju, nodrošināt digitālo uzticību un saukt pie atbildības kibernoziedzniekus. Tā kā kiberdraudi turpina attīstīties, nevar pārvērtēt stingru drošības pasākumu un koordinētu globālu reakciju nozīmi.