VS en Microsoft brengen Russische cyberfraude een zware klap toe door 107 domeinen in beslag te nemen in wereldwijde strijd
In een grootscheepse aanpak van cyberfraude hebben Microsoft en het Amerikaanse ministerie van Justitie (DoJ) onlangs de inbeslagname aangekondigd van 107 internetdomeinen die worden gebruikt door Russische staatsgesponsorde cybercriminelen . Deze inspanning is onderdeel van een voortdurende strijd om cyberaanvallen in te dammen, met name die welke verband houden met diefstal van gevoelige informatie en misbruik van digitaal vertrouwen.
Inhoudsopgave
De Russische connectie: het targeten van Amerikaanse data
Deze domeinen, gerund door cyberdreigingsactoren die banden hebben met de Russische overheid, werden voornamelijk gebruikt om computerfraude en -misbruik te faciliteren. Het doel van de groep? Om de gevoelige informatie van Amerikanen te stelen door slachtoffers te verleiden om inloggegevens te verstrekken via neppe maar overtuigende e-mailaccounts. Plaatsvervangend procureur-generaal Lisa Monaco verklaarde: "De Russische overheid heeft dit plan uitgevoerd om de gevoelige informatie van Amerikanen te stelen, door schijnbaar legitieme e-mailaccounts te gebruiken om slachtoffers ertoe te verleiden hun accountgegevens te verstrekken."
De daders achter deze cyberaanvallen worden toegeschreven aan een groep die bekendstaat als COLDRIVER. Hoewel de naam misschien niet meteen een belletje doet rinkelen, is de groep berucht onder verschillende aliassen : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard en meer. COLDRIVER, ook wel TAG-53 en UNC4057 genoemd, is naar verluidt een operationele eenheid onder de Russische Federale Veiligheidsdienst (FSB), actief sinds ten minste 2012.
Sancties en de groeiende druk op COLDRIVER
De afgelopen jaren zijn de inspanningen van de wetshandhaving tegen de groep opgevoerd. In december 2023 legden de Britse en Amerikaanse regeringen sancties op aan twee van de prominente leden van COLDRIVER : Aleksandrovich Peretyatko en Andrey Stanislavovich Korinets. Deze personen werden uitgekozen vanwege hun rol bij het verzamelen van inloggegevens en het lanceren van spear-phishingcampagnes: zeer gerichte inspanningen gericht op het infiltreren van de systemen van Amerikaanse overheidsfunctionarissen, militair personeel en maatschappelijke organisaties. Verdere sancties kwamen van de Europese Raad in juni 2024, wat de internationale druk op de groep voortzette.
De domeinen - een toegangspoort tot cyberinbraken
Van de 107 in beslag genomen domeinen werden er 41 voornamelijk gebruikt door de aanvallers om spear-phishingcampagnes uit te voeren tegen de Amerikaanse overheid. Deze campagnes waren gericht op e-mailaccounts van hoog niveau met als doel inloggegevens te stelen en toegang te krijgen tot waardevolle, vaak geheime, informatie. Deze tactiek is een belangrijk onderdeel van COLDRIVER's operationele playbook, waarbij stealth en social engineering worden gecombineerd om gebruikers ertoe te verleiden gevoelige systemen te compromitteren.
Het DoJ merkte op dat de dreigingsactoren meerdere wetten over computertoegang schonden, waaronder ongeautoriseerde toegang tot overheidssystemen en beveiligde computers. Deze kwaadaardige acties veroorzaakten aanzienlijke schade, wat de aanhoudende en evoluerende aard van moderne cybercriminaliteit onderstreepte.
Microsoft's civiele actie in de strijd tegen COLDRIVER's netwerk
Parallel aan de domeininbeslagnames ondernam Microsoft juridische stappen om 66 extra internetdomeinen te neutraliseren die geassocieerd werden met COLDRIVER. Deze domeinen werden gebruikt om meer dan 30 maatschappelijke organisaties en entiteiten aan te vallen tussen januari 2023 en augustus 2024, met name gericht op NGO's en denktanks die overheidsmedewerkers, militair personeel en inlichtingenfunctionarissen ondersteunen. De activiteiten van de groep strekten zich uit over NAVO-landen zoals het VK en de VS, met een bijzondere interesse in organisaties die Oekraïne ondersteunen - een duidelijke indicator van de geopolitieke doelen van Rusland.
Steven Masada, assistent algemeen adviseur bij Microsoft's Digital Crimes Unit (DCU), benadrukte de ernst van deze campagnes. "De operaties van Star Blizzard zijn meedogenloos en maken misbruik van het vertrouwen, de privacy en de vertrouwdheid van alledaagse digitale interacties," merkte hij op. Hij benadrukte dat de groep bijzonder agressief is geweest in het targeten van voormalige inlichtingenfunctionarissen, experts op het gebied van Russische zaken en zelfs Russische burgers die in de VS wonen.
COLDRIVER's meedogenloze zoektocht naar data
Sinds januari 2023 identificeerde Microsoft 82 klanten die het doelwit waren van COLDRIVER, een weerspiegeling van de volharding van de groep. "Hun frequentie onderstreept de ijver van de groep bij het identificeren van waardevolle doelen, het opstellen van gepersonaliseerde phishing-e-mails en het ontwikkelen van de benodigde infrastructuur voor diefstal van inloggegevens", voegde Masada toe. Deze meedogenloze achtervolging laat zien dat de groep voortdurend haar methoden verfijnt om voorop te blijven lopen op defensieve maatregelen.
Slachtoffers, die zich vaak niet bewust zijn van de kwaadaardige bedoelingen achter deze phishing-e-mails, gaan onbewust om met deze frauduleuze berichten. Als gevolg hiervan worden hun inloggegevens gecompromitteerd, waardoor cybercriminelen toegang krijgen tot gevoelige gegevens en netwerken met een hoge waarde.
Een stap voorwaarts in de strijd tegen cybercriminaliteit
De gezamenlijke inspanningen van Microsoft en de Amerikaanse overheid om deze domeinen in beslag te nemen, markeren een cruciale overwinning in de voortdurende oorlog tegen door staten gesponsorde cyberaanvallen. Hoewel deze aanpak de activiteiten van COLDRIVER voorlopig verstoort, suggereert de geschiedenis van de groep dat ze zich zullen blijven ontwikkelen, waardoor het cruciaal is voor overheden, organisaties en individuen om waakzaam te blijven.
De inbeslagname van deze domeinen is slechts een stap in een bredere poging om gevoelige informatie te beschermen, digitaal vertrouwen veilig te stellen en cybercriminelen ter verantwoording te roepen. Naarmate cyberdreigingen zich blijven ontwikkelen, kan het belang van robuuste beveiligingsmaatregelen en gecoördineerde wereldwijde reacties niet genoeg worden benadrukt.