SUA și Microsoft dau o lovitură majoră fraudei cibernetice din Rusia, confiscând 107 domenii în represiunea globală
Într-o represiune majoră împotriva fraudei cibernetice, Microsoft și Departamentul de Justiție al SUA (DoJ) au anunțat recent confiscarea a 107 domenii de internet utilizate de infractorii cibernetici sponsorizați de stat rus . Acest efort face parte dintr-o luptă continuă pentru a reduce atacurile cibernetice, în special cele legate de furtul de informații sensibile și abuzul de încredere digitală.
Cuprins
Conexiunea rusă: țintirea datelor americanilor
Aceste domenii, conduse de actori de amenințări cibernetice legați de guvernul rus, au fost utilizate în principal pentru a facilita frauda și abuzul informatic. Scopul grupului? Pentru a fura informațiile sensibile ale americanilor, ademenind victimele să dezvăluie acreditările de conectare prin conturi de e-mail false, dar convingătoare. Procurorul general adjunct Lisa Monaco a declarat: „Guvernul rus a condus această schemă pentru a fura informațiile sensibile ale americanilor, folosind conturi de e-mail aparent legitime pentru a păcăli victimele să dezvăluie acreditările contului”.
Vinovații din spatele acestor atacuri cibernetice sunt atribuiți unui grup cunoscut sub numele de COLDRIVER. Deși numele poate să nu sune imediat, grupul este notoriu sub o varietate de pseudonime : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard și multe altele. COLDRIVER, denumit și TAG-53 și UNC4057, este o unitate operațională din cadrul Serviciului Federal de Securitate (FSB) al Rusiei, activ din cel puțin 2012.
Sancțiuni și presiunea tot mai mare asupra COLDRIVER
În ultimii ani, eforturile de aplicare a legii s-au intensificat împotriva grupului. În decembrie 2023, guvernele Marii Britanii și SUA au impus sancțiuni asupra doi dintre membrii importanți ai COLDRIVER : Aleksandrovich Peretyatko și Andrey Stanislavovich Korinets. Acești indivizi au fost evidențiați pentru rolul lor în colectarea acreditărilor și lansarea de campanii de spear-phishing - eforturi extrem de direcționate care vizează infiltrarea în sistemele oficialilor guvernamentali americani, personalului militar și organizațiilor societății civile. Alte sancțiuni au venit de la Consiliul European din iunie 2024, continuând presiunea internațională asupra grupului.
Domeniile - O poartă către intruziunile cibernetice
Dintre cele 107 domenii confiscate, 41 au fost folosite în principal de atacatori pentru a executa campanii de spear-phishing împotriva guvernului SUA. Aceste campanii au vizat conturi de e-mail de nivel înalt cu scopul de a fura acreditări și de a accesa informații valoroase, adesea clasificate. Această tactică este o parte esențială a manualului operațional COLDRIVER, combinând stealth și ingineria socială pentru a păcăli utilizatorii să compromită sistemele sensibile.
DoJ a remarcat că actorii amenințărilor au încălcat mai multe legi privind accesul la computere, inclusiv accesul neautorizat la sisteme guvernamentale și computere protejate. Aceste acțiuni rău intenționate au cauzat daune semnificative, subliniind caracterul persistent și evolutiv al criminalității informatice moderne.
Acțiunea civilă a Microsoft în abordarea rețelei COLDRIVER
Paralel cu confiscările de domenii, Microsoft a luat măsuri legale pentru a neutraliza 66 de domenii de internet suplimentare asociate cu COLDRIVER. Aceste domenii au fost folosite pentru a viza peste 30 de entități și organizații ale societății civile între ianuarie 2023 și august 2024, concentrându-se în primul rând pe ONG-uri și grupuri de reflecție care sprijină angajații guvernamentali, personalul militar și oficialii de informații. Operațiunile grupului s-au extins în țări NATO precum Marea Britanie și SUA, cu un interes deosebit pentru organizațiile care oferă sprijin Ucrainei – un indicator clar al obiectivelor geopolitice ale Rusiei.
Steven Masada, consilier general asistent la Digital Crimes Unit (DCU) Microsoft, a subliniat gravitatea acestor campanii. „Operațiunile Star Blizzard sunt necruțătoare, exploatând încrederea, confidențialitatea și familiaritatea interacțiunilor digitale de zi cu zi”, a remarcat el. El a subliniat că grupul a fost deosebit de agresiv în a viza foști oficiali de informații, experți în afaceri rusești și chiar cetățeni ruși care locuiesc în SUA.
Căutarea neobosită a datelor a lui COLDRIVER
Din ianuarie 2023, Microsoft a identificat 82 de clienți care au fost vizați de COLDRIVER, o reflectare a persistenței grupului. „Frecvența lor subliniază diligența grupului în identificarea țintelor de mare valoare, crearea de e-mailuri de phishing personalizate și dezvoltarea infrastructurii necesare pentru furtul de acreditări”, a adăugat Masada. Această urmărire necruțătoare demonstrează că grupul își perfecționează în mod constant metodele pentru a rămâne în fața măsurilor defensive.
Victimele, adesea neștiind intenția rău intenționată din spatele acestor e-mailuri de phishing, interacționează fără să știe cu aceste mesaje frauduloase. Drept urmare, acreditările lor sunt compromise, oferind infractorilor cibernetici acces la date sensibile și la rețele de mare valoare.
Un pas înainte în lupta împotriva criminalității cibernetice
Eforturile comune ale Microsoft și ale guvernului SUA de a ocupa aceste domenii marchează o victorie critică în războiul în curs împotriva atacurilor cibernetice sponsorizate de stat. În timp ce această represiune perturbă operațiunile COLDRIVER pentru moment, istoria grupului sugerează că acestea vor continua să evolueze, ceea ce face crucial ca guvernele, organizațiile și indivizii să rămână vigilenți.
Sechestrarea acestor domenii este doar un pas într-un efort mai larg de a proteja informațiile sensibile, de a asigura încrederea digitală și de a trage la răspundere infractorii cibernetici. Pe măsură ce amenințările cibernetice continuă să evolueze, importanța măsurilor de securitate robuste și a răspunsurilor globale coordonate nu poate fi exagerată.