США и Microsoft наносят серьезный удар по российскому кибермошенничеству, конфисковав 107 доменов в ходе глобальной операции
В ходе масштабной операции по борьбе с кибермошенничеством Microsoft и Министерство юстиции США (DoJ) недавно объявили об аресте 107 интернет-доменов, используемых российскими государственными киберпреступниками . Эти усилия являются частью продолжающейся борьбы с кибератаками, особенно связанными с кражей конфиденциальной информации и злоупотреблением цифровым доверием.
Оглавление
Русский след: атака на данные американцев
Эти домены, управляемые киберпреступниками, связанными с российским правительством, в первую очередь использовались для содействия компьютерному мошенничеству и злоупотреблениям. Цель группы? Украсть конфиденциальную информацию американцев, заманивая жертв к раскрытию учетных данных для входа с помощью поддельных, но убедительных учетных записей электронной почты. Заместитель генерального прокурора Лиза Монако заявила: «Российское правительство запустило эту схему, чтобы украсть конфиденциальную информацию американцев, используя, казалось бы, законные учетные записи электронной почты, чтобы обманом заставить жертв раскрыть учетные данные».
Виновниками этих кибератак считается группа, известная как COLDRIVER. Хотя название может и не сразу напоминать о себе, группа известна под разными псевдонимами : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard и другими. COLDRIVER, также известная как TAG-53 и UNC4057, как сообщается, является оперативным подразделением Федеральной службы безопасности России (ФСБ), действующим по крайней мере с 2012 года.
Санкции и растущее давление на COLDRIVER
В последние годы правоохранительные органы усилили борьбу с группой. В декабре 2023 года правительства Великобритании и США ввели санкции в отношении двух видных членов COLDRIVER : Александровича Перетятько и Андрея Станиславовича Коринца. Эти лица были выделены за их роль в сборе учетных данных и запуске кампаний целевого фишинга — целенаправленных усилий, направленных на проникновение в системы должностных лиц правительства США, военнослужащих и организаций гражданского общества. Дополнительные санкции были введены Европейским советом в июне 2024 года, что продолжило международное давление на группу.
Домены — ворота для кибервторжений
Из 107 захваченных доменов 41 в первую очередь использовался злоумышленниками для проведения фишинговых кампаний против правительства США. Эти кампании были нацелены на учетные записи электронной почты высокого уровня с целью кражи учетных данных и доступа к ценной, часто секретной, информации. Эта тактика является ключевой частью оперативной стратегии COLDRIVER, сочетающей скрытность и социальную инженерию, чтобы обманом заставить пользователей взломать чувствительные системы.
DoJ отметил, что злоумышленники нарушили многочисленные законы о доступе к компьютерам, включая несанкционированный доступ к правительственным системам и защищенным компьютерам. Эти вредоносные действия нанесли значительный ущерб, подчеркивая устойчивую и развивающуюся природу современной киберпреступности.
Гражданский иск Microsoft по борьбе с сетью COLDRIVER
Параллельно с изъятием доменов Microsoft предприняла юридические шаги для нейтрализации 66 дополнительных интернет-доменов, связанных с COLDRIVER. Эти домены использовались для атак на более чем 30 субъектов и организаций гражданского общества в период с января 2023 года по август 2024 года, в первую очередь на НПО и аналитические центры, которые поддерживают государственных служащих, военнослужащих и сотрудников разведки. Операции группы охватывали страны НАТО, такие как Великобритания и США, с особым интересом к организациям, оказывающим поддержку Украине, что является явным показателем геополитических целей России.
Стивен Масада, помощник генерального юрисконсульта в подразделении Microsoft по борьбе с цифровыми преступлениями (DCU), подчеркнул серьезность этих кампаний. «Операции Star Blizzard неустанны, эксплуатируя доверие, конфиденциальность и привычность повседневных цифровых взаимодействий», — отметил он. Он подчеркнул, что группа была особенно агрессивной в нападении на бывших сотрудников разведки, экспертов по российским делам и даже граждан России, проживающих в США.
Неустанное стремление COLDRIVER к данным
С января 2023 года Microsoft выявила 82 клиента, подвергшихся атакам COLDRIVER, что свидетельствует об упорстве группы. «Их частота подчеркивает усердие группы в выявлении высокоприбыльных целей, создании персонализированных фишинговых писем и разработке необходимой инфраструктуры для кражи учетных данных», — добавил Масада. Это неустанное преследование демонстрирует, что группа постоянно совершенствует свои методы, чтобы опережать защитные меры.
Жертвы, часто не осознающие злонамеренность этих фишинговых писем, неосознанно взаимодействуют с этими мошенническими сообщениями. В результате их учетные данные оказываются скомпрометированными, предоставляя киберпреступникам доступ к конфиденциальным данным и высокоценным сетям.
Шаг вперед в борьбе с киберпреступностью
Совместные усилия Microsoft и правительства США по захвату этих доменов знаменуют собой решающую победу в продолжающейся войне против спонсируемых государством кибератак. Хотя эти репрессии пока нарушают деятельность COLDRIVER, история группы предполагает, что она продолжит развиваться, поэтому правительствам, организациям и отдельным лицам крайне важно сохранять бдительность.
Захват этих доменов — это всего лишь один шаг в более широких усилиях по защите конфиденциальной информации, обеспечению цифрового доверия и привлечению киберпреступников к ответственности. Поскольку киберугрозы продолжают развиваться, важность надежных мер безопасности и скоординированных глобальных ответов невозможно переоценить.