USA i Microsoft zadają poważny cios rosyjskiemu cyberoszustwu, przejmując 107 domen w ramach globalnej akcji
W ramach poważnych represji przeciwko cyberoszustwom Microsoft i Departament Sprawiedliwości USA (DoJ) niedawno ogłosiły przejęcie 107 domen internetowych używanych przez rosyjskich cyberprzestępców sponsorowanych przez państwo . Działanie to jest częścią trwającej walki o powstrzymanie cyberataków, w szczególności tych związanych z kradzieżą poufnych informacji i nadużywaniem zaufania cyfrowego.
Spis treści
Rosyjskie powiązania: atakowanie danych Amerykanów
Te domeny, zarządzane przez cyberprzestępców powiązanych z rosyjskim rządem, były wykorzystywane głównie do ułatwiania oszustw komputerowych i nadużyć. Cel grupy? Kradzież poufnych informacji Amerykanów poprzez nakłanianie ofiar do ujawniania danych logowania za pośrednictwem fałszywych, ale przekonujących kont e-mail. Zastępca prokuratora generalnego Lisa Monaco oświadczyła: „Rząd rosyjski prowadził ten schemat, aby kraść poufne informacje Amerykanów, wykorzystując pozornie legalne konta e-mail, aby oszukać ofiary i zmusić je do ujawnienia danych logowania”.
Sprawcy tych cyberataków są przypisywani grupie znanej jako COLDRIVER. Chociaż nazwa może nie brzmieć od razu znajomo, grupa jest znana pod różnymi pseudonimami : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard i innymi. COLDRIVER, znany również jako TAG-53 i UNC4057, jest podobno jednostką operacyjną podlegającą Federalnej Służbie Bezpieczeństwa Rosji (FSB), działającą od co najmniej 2012 roku.
Sankcje i rosnąca presja na COLDRIVER
W ostatnich latach działania organów ścigania przeciwko tej grupie zostały nasilone. W grudniu 2023 r. rządy Wielkiej Brytanii i USA nałożyły sankcje na dwóch prominentnych członków COLDRIVER : Aleksandrowicza Peretyatkę i Andrieja Stanisławowicza Korineca. Osoby te zostały wyróżnione za ich rolę w gromadzeniu danych uwierzytelniających i uruchamianiu kampanii spear-phishing — wysoce ukierunkowanych działań mających na celu infiltrację systemów urzędników rządowych USA, personelu wojskowego i organizacji społeczeństwa obywatelskiego. Dalsze sankcje zostały nałożone przez Radę Europejską w czerwcu 2024 r., kontynuując międzynarodową presję na tę grupę.
Domeny - brama do cyberataków
Spośród 107 przejętych domen, 41 było wykorzystywanych głównie przez atakujących do przeprowadzania kampanii spear-phishing przeciwko rządowi USA. Kampanie te były skierowane na konta e-mail wysokiego szczebla w celu kradzieży danych uwierzytelniających i dostępu do cennych, często tajnych informacji. Ta taktyka jest kluczową częścią podręcznika operacyjnego COLDRIVER, łączącego ukrycie i inżynierię społeczną, aby oszukać użytkowników i nakłonić ich do naruszenia wrażliwych systemów.
DoJ zauważył, że sprawcy zagrożenia naruszyli wiele praw dotyczących dostępu do komputerów, w tym nieautoryzowany dostęp do systemów rządowych i chronionych komputerów. Te złośliwe działania spowodowały znaczne szkody, podkreślając uporczywą i ewolucyjną naturę współczesnej cyberprzestępczości.
Pozew cywilny Microsoftu w sprawie sieci COLDRIVER
Równolegle do przejmowania domen, Microsoft podjął kroki prawne w celu zneutralizowania 66 dodatkowych domen internetowych powiązanych z COLDRIVER. Domeny te były wykorzystywane do atakowania ponad 30 podmiotów i organizacji społeczeństwa obywatelskiego w okresie od stycznia 2023 r. do sierpnia 2024 r., głównie skupiając się na organizacjach pozarządowych i think tankach wspierających pracowników rządowych, personel wojskowy i funkcjonariuszy wywiadu. Działania grupy obejmowały kraje NATO, takie jak Wielka Brytania i Stany Zjednoczone, ze szczególnym uwzględnieniem organizacji zapewniających wsparcie Ukrainie — co jest wyraźnym wskaźnikiem geopolitycznych celów Rosji.
Steven Masada, zastępca głównego doradcy prawnego w Digital Crimes Unit (DCU) Microsoftu, podkreślił powagę tych kampanii. „Działania Star Blizzard są nieustępliwe, wykorzystują zaufanie, prywatność i znajomość codziennych interakcji cyfrowych” – zauważył. Podkreślił, że grupa była szczególnie agresywna w atakowaniu byłych funkcjonariuszy wywiadu, ekspertów ds. Rosji, a nawet obywateli Rosji mieszkających w USA
Nieustanne dążenie COLDRIVER do pozyskania danych
Od stycznia 2023 r. Microsoft zidentyfikował 82 klientów, którzy stali się celem COLDRIVER, co odzwierciedla wytrwałość grupy. „Ich częstotliwość podkreśla staranność grupy w identyfikowaniu celów o wysokiej wartości, tworzeniu spersonalizowanych wiadomości e-mail phishingowych i rozwijaniu niezbędnej infrastruktury do kradzieży danych uwierzytelniających” — dodał Masada. Ten nieustanny pościg pokazuje, że grupa nieustannie udoskonala swoje metody, aby wyprzedzać środki obronne.
Ofiary, często nieświadome złośliwych intencji stojących za tymi wiadomościami phishingowymi, nieświadomie angażują się w te oszukańcze wiadomości. W rezultacie ich dane uwierzytelniające zostają naruszone, co daje cyberprzestępcom dostęp do poufnych danych i sieci o wysokiej wartości.
Krok naprzód w walce z cyberprzestępczością
Wspólne wysiłki Microsoftu i rządu USA w celu przejęcia tych domen oznaczają decydujące zwycięstwo w trwającej wojnie z cyberatakami sponsorowanymi przez państwo. Chociaż te represje zakłócają na razie działalność COLDRIVER, historia grupy sugeruje, że będzie ona nadal ewoluować, co sprawia, że rządy, organizacje i osoby prywatne muszą zachować czujność.
Zajęcie tych domen to tylko jeden krok w szerszym wysiłku na rzecz ochrony poufnych informacji, zabezpieczenia zaufania cyfrowego i pociągnięcia cyberprzestępców do odpowiedzialności. W miarę jak zagrożenia cybernetyczne wciąż ewoluują, nie można przecenić znaczenia solidnych środków bezpieczeństwa i skoordynowanych globalnych reakcji.