USA a Microsoft zasiahli veľký úder ruskému kybernetickému podvodu, ktorý sa zmocnil 107 domén v rámci globálneho zásahu
V rámci rozsiahleho zásahu proti kybernetickým podvodom Microsoft a americké ministerstvo spravodlivosti (DoJ) nedávno oznámili zabavenie 107 internetových domén používaných ruským štátom podporovaným počítačovým zločincom . Toto úsilie je súčasťou prebiehajúceho boja o obmedzenie kybernetických útokov, najmä tých, ktoré sú spojené s krádežou citlivých informácií a zneužívaním digitálnej dôvery.
Obsah
Ruské spojenie: Zameranie na údaje Američanov
Tieto domény prevádzkované aktérmi kybernetických hrozieb naviazanými na ruskú vládu sa primárne využívali na uľahčenie počítačových podvodov a zneužívania. Cieľ skupiny? Ukradnúť citlivé informácie Američanov lákaním obetí na zverejnenie prihlasovacích údajov prostredníctvom falošných, ale presvedčivých e-mailových účtov. Zástupkyňa generálneho prokurátora Lisa Monaco uviedla: „Ruská vláda spustila túto schému na odcudzenie citlivých informácií Američanov pomocou zdanlivo legitímnych e-mailových účtov na oklamanie obetí, aby odhalili prihlasovacie údaje k účtu.
Páchatelia týchto kybernetických útokov sú pripisovaní skupine známej ako COLDRIVER. Aj keď názov nemusí hneď zvoniť, skupina je notoricky známa pod rôznymi prezývkami : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard a ďalšie. COLDRIVER, tiež označovaný ako TAG-53 a UNC4057, je údajne operačná jednotka v rámci ruskej Federálnej bezpečnostnej služby (FSB), ktorá pôsobí minimálne od roku 2012.
Sankcie a rastúci tlak na COLDRIVER
V posledných rokoch sa proti skupine zintenzívnili snahy o presadzovanie práva. V decembri 2023 uvalili vlády Spojeného kráľovstva a USA sankcie na dvoch prominentných členov COLDRIVER : Aleksandroviča Peretyatka a Andreja Stanislavoviča Korinca. Títo jednotlivci boli vybraní pre svoje úlohy pri získavaní poverení a spúšťaní kampaní spear-phishing – vysoko cieleného úsilia zameraného na infiltráciu systémov amerických vládnych úradníkov, vojenského personálu a organizácií občianskej spoločnosti. Ďalšie sankcie prišli zo strany Európskej rady v júni 2024, čím pokračoval medzinárodný tlak na skupinu.
Domény – brána k kybernetickým prienikom
Spomedzi 107 zabavených domén útočníci primárne použili 41 na vykonávanie spear-phishingových kampaní proti vláde USA. Tieto kampane sa zamerali na e-mailové účty na vysokej úrovni s cieľom ukradnúť poverenia a získať prístup k cenným, často utajovaným informáciám. Táto taktika je kľúčovou súčasťou operačnej príručky COLDRIVER, ktorá spája utajenie a sociálne inžinierstvo s cieľom oklamať používateľov, aby ohrozili citlivé systémy.
Ministerstvo spravodlivosti poznamenalo, že aktéri hrozby porušili viaceré zákony o prístupe k počítačom vrátane neoprávneného prístupu k vládnym systémom a chráneným počítačom. Tieto zlomyseľné činy spôsobili značné škody a zdôraznili pretrvávajúci a vyvíjajúci sa charakter modernej počítačovej kriminality.
Civilná akcia Microsoftu pri riešení siete COLDRIVER
Paralelne so zabavením domén podnikol Microsoft právne kroky na neutralizáciu ďalších 66 internetových domén spojených s COLDRIVER. Tieto domény sa použili na zacielenie na viac ako 30 subjektov a organizácií občianskej spoločnosti v období od januára 2023 do augusta 2024, pričom sa primárne zamerali na mimovládne organizácie a think-tanky, ktoré podporujú vládnych zamestnancov, vojenský personál a spravodajských úradníkov. Operácie skupiny sa rozprestierali v krajinách NATO, ako je Spojené kráľovstvo a USA, s osobitným záujmom o organizácie poskytujúce podporu Ukrajine, čo je jasný indikátor geopolitických cieľov Ruska.
Steven Masada, asistent hlavného právneho zástupcu oddelenia Digital Crimes Unit (DCU) spoločnosti Microsoft, zdôraznil závažnosť týchto kampaní. „Operácie Star Blizzardu sú neúprosné a využívajú dôveru, súkromie a známosť každodenných digitálnych interakcií,“ poznamenal. Zdôraznil, že skupina bola obzvlášť agresívna, keď sa zameriavala na bývalých spravodajských úradníkov, expertov na ruské záležitosti a dokonca aj na ruských občanov s bydliskom v USA.
Neúnavné prenasledovanie dát COLDRIVER
Od januára 2023 Microsoft identifikoval 82 zákazníkov, na ktorých sa COLDRIVER zameral, čo je odrazom vytrvalosti skupiny. „Ich frekvencia podčiarkuje usilovnosť skupiny pri identifikácii vysokohodnotných cieľov, vytváraní personalizovaných phishingových e-mailov a vývoji potrebnej infraštruktúry na krádeže poverení,“ dodal Masada. Toto neúnavné prenasledovanie dokazuje, že skupina neustále zdokonaľuje svoje metódy, aby si udržala náskok pred obrannými opatreniami.
Obete, ktoré si často neuvedomujú, aký zlý zámer sa skrýva za týmito phishingovými e-mailami, sa nevedomky zapájajú do týchto podvodných správ. V dôsledku toho sú ich prihlasovacie údaje ohrozené, čo kyberzločincom poskytuje prístup k citlivým údajom a sieťam s vysokou hodnotou.
Krok vpred v boji proti počítačovej kriminalite
Spoločné úsilie Microsoftu a vlády USA pri zmocnení sa týchto domén znamená kritické víťazstvo v prebiehajúcej vojne proti štátom podporovaným kybernetickým útokom. Aj keď tento zásah nateraz narúša operácie COLDRIVER, história skupiny naznačuje, že sa budú naďalej vyvíjať, takže pre vlády, organizácie a jednotlivcov je mimoriadne dôležité, aby zostali ostražití.
Zabavenie týchto domén je len jedným krokom v širšom úsilí o ochranu citlivých informácií, zabezpečenie digitálnej dôvery a vyvodenie zodpovednosti voči kyberzločincom. Keďže kybernetické hrozby sa neustále vyvíjajú, význam silných bezpečnostných opatrení a koordinovaných globálnych reakcií nemožno preceňovať.