USA og Microsoft slår et stort slag mot russisk cybersvindel som beslaglegger 107 domener i globalt grep
I et stort angrep mot nettsvindel kunngjorde Microsoft og det amerikanske justisdepartementet (DoJ) nylig beslagleggelsen av 107 internettdomener brukt av russiske statsstøttede nettkriminelle . Denne innsatsen er en del av en pågående kamp for å dempe nettangrep, spesielt de som er knyttet til tyveri av sensitiv informasjon og misbruk av digital tillit.
Innholdsfortegnelse
Den russiske forbindelsen: Målretting av amerikanernes data
Disse domenene, drevet av nettrusselsaktører knyttet til den russiske regjeringen, ble først og fremst brukt til å legge til rette for svindel og misbruk av datamaskiner. Gruppens mål? Å stjele amerikanernes sensitive informasjon ved å lokke ofre til å avsløre påloggingsinformasjon via falske, men overbevisende e-postkontoer. Visestatsadvokat Lisa Monaco uttalte: "Den russiske regjeringen kjørte denne ordningen for å stjele amerikanernes sensitive informasjon, ved å bruke tilsynelatende legitime e-postkontoer for å lure ofre til å avsløre kontolegitimasjon."
De skyldige bak disse nettangrepene tilskrives en gruppe kjent som COLDRIVER. Selv om navnet kanskje ikke umiddelbart ringer en bjelle, er gruppen beryktet under en rekke aliaser : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard og mer. COLDRIVER, også referert til som TAG-53 og UNC4057, er angivelig en operativ enhet under Russlands føderale sikkerhetstjeneste (FSB), aktiv siden minst 2012.
Sanksjoner og det økende presset på COLDRIVER
De siste årene har rettshåndhevelsesarbeidet økt mot gruppen. I desember 2023 innførte regjeringen i Storbritannia og USA sanksjoner mot to av COLDRIVERs fremtredende medlemmer : Aleksandrovich Peretyatko og Andrey Stanislavovich Korinets. Disse personene ble skilt ut for sine roller i innsamling av legitimasjon og lansering av spyd-phishing-kampanjer – svært målrettet innsats rettet mot å infiltrere systemene til amerikanske myndighetspersoner, militært personell og sivilsamfunnsorganisasjoner. Ytterligere sanksjoner kom fra Det europeiske råd i juni 2024, og fortsatte det internasjonale presset på gruppen.
Domenene – en inngangsport til cyberinntrengninger
Blant de 107 domenene som ble beslaglagt, ble 41 primært brukt av angriperne til å gjennomføre spyd-phishing-kampanjer mot den amerikanske regjeringen. Disse kampanjene var målrettet mot e-postkontoer på høyt nivå med sikte på å stjele legitimasjon og få tilgang til verdifull, ofte klassifisert, informasjon. Denne taktikken er en sentral del av COLDRIVERs operative spillebok, og blander sniking og sosial teknikk for å lure brukere til å kompromittere sensitive systemer.
DoJ bemerket at trusselaktørene brøt flere lover om datatilgang, inkludert uautorisert tilgang til offentlige systemer og beskyttede datamaskiner. Disse ondsinnede handlingene forårsaket betydelig skade, og understreker den vedvarende og utviklende naturen til moderne nettkriminalitet.
Microsofts sivile handling for å takle COLDRIVERs nettverk
Parallelt med domenebeslagene tok Microsoft juridiske skritt for å nøytralisere ytterligere 66 internettdomener knyttet til COLDRIVER. Disse domenene ble brukt til å målrette over 30 sivilsamfunnsenheter og organisasjoner mellom januar 2023 og august 2024, primært med fokus på frivillige organisasjoner og tenketanker som støtter offentlig ansatte, militært personell og etterretningstjenestemenn. Gruppens operasjoner spenner over NATO-land som Storbritannia og USA, med en spesiell interesse i organisasjoner som gir støtte til Ukraina – en klar indikator på Russlands geopolitiske mål.
Steven Masada, assisterende generaladvokat ved Microsofts Digital Crimes Unit (DCU), fremhevet alvorlighetsgraden av disse kampanjene. "Star Blizzards operasjoner er nådeløse, og utnytter tilliten, personvernet og fortroligheten til daglige digitale interaksjoner," sa han. Han understreket at gruppen har vært spesielt aggressiv når det gjelder å sikte mot tidligere etterretningstjenestemenn, eksperter på russiske anliggender og til og med russiske borgere bosatt i USA
COLDRIVERs nådeløse jakt på data
Siden januar 2023 har Microsoft identifisert 82 kunder som har blitt målrettet av COLDRIVER, en refleksjon av gruppens utholdenhet. "Deres hyppighet understreker gruppens flid med å identifisere verdifulle mål, lage personlig tilpassede phishing-e-poster og utvikle den nødvendige infrastrukturen for legitimasjonstyveri," la Masada til. Denne nådeløse jakten demonstrerer at gruppen stadig raffinerer metodene sine for å ligge i forkant av defensive tiltak.
Ofre, ofte uvitende om den ondsinnede hensikten bak disse phishing-e-postene, engasjerer seg ubevisst med disse falske meldingene. Som et resultat blir deres legitimasjon kompromittert, noe som gir nettkriminelle tilgang til sensitive data og nettverk av høy verdi.
Et skritt fremover i kampen mot nettkriminalitet
Den felles innsatsen til Microsoft og den amerikanske regjeringen med å beslaglegge disse domenene markerer en kritisk seier i den pågående krigen mot statsstøttede nettangrep. Selv om dette inngrepet forstyrrer COLDRIVERs virksomhet foreløpig, tyder gruppens historie på at de vil fortsette å utvikle seg, noe som gjør det avgjørende for myndigheter, organisasjoner og enkeltpersoner å være årvåkne.
Beslagleggelsen av disse domenene er bare ett skritt i en bredere innsats for å beskytte sensitiv informasjon, sikre digital tillit og holde nettkriminelle ansvarlige. Ettersom cybertrusler fortsetter å utvikle seg, kan ikke viktigheten av robuste sikkerhetstiltak og koordinerte globale reaksjoner overvurderes.