ZDA in Microsoft zadala velik udarec ruskim kibernetskim goljufijam. Zasegla 107 domen v globalnem zatiranju
V velikem zatiranju kibernetskih goljufij sta Microsoft in ameriško ministrstvo za pravosodje (DoJ) nedavno objavila zaseg 107 internetnih domen, ki so jih uporabljali kibernetski kriminalci, ki jih sponzorira ruska država . Ta prizadevanja so del nenehnega boja za zajezitev kibernetskih napadov, zlasti tistih, povezanih s krajo občutljivih informacij in zlorabo digitalnega zaupanja.
Kazalo
Ruska povezava: ciljanje na podatke Američanov
Te domene, ki jih vodijo akterji kibernetske grožnje, povezani z rusko vlado, so bile uporabljene predvsem za omogočanje računalniških goljufij in zlorab. Cilj skupine? Za krajo občutljivih podatkov Američanov z zvabljanjem žrtev v razkritje poverilnic za prijavo prek lažnih, a prepričljivih e-poštnih računov. Namestnica generalnega državnega tožilca Lisa Monaco je izjavila: "Ruska vlada je vodila to shemo za krajo občutljivih podatkov Američanov, z uporabo navidezno legitimnih e-poštnih računov, da bi žrtve pretentala, da bi razkrile poverilnice računa."
Krivce za te kibernetske napade pripisujejo skupini, znani kot COLDRIVER. Čeprav ime morda ne bo takoj zazvenelo, je skupina razvpita pod različnimi vzdevki : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard itd. COLDRIVER, imenovan tudi TAG-53 in UNC4057, naj bi bil operativna enota pod rusko zvezno varnostno službo (FSB), ki je aktivna vsaj od leta 2012.
Sankcije in vse večji pritisk na COLDRIVER
V zadnjih letih so se prizadevanja organov pregona proti skupini okrepila. Decembra 2023 sta vladi Združenega kraljestva in ZDA uvedli sankcije proti dvema vidnima članoma COLDRIVERja : Aleksandroviču Peretjatku in Andreju Stanislavoviču Korinecu. Ti posamezniki so bili izpostavljeni zaradi svojih vlog pri zbiranju poverilnic in sprožanju kampanj lažnega predstavljanja – zelo ciljnih prizadevanj, katerih cilj je infiltracija v sisteme ameriških vladnih uradnikov, vojaškega osebja in organizacij civilne družbe. Junija 2024 je Evropski svet uvedel nadaljnje sankcije, s čimer se nadaljuje mednarodni pritisk na skupino.
Domene – prehod do kibernetskih vdorov
Med 107 zaseženimi domenami so jih napadalci 41 uporabljali predvsem za izvajanje kampanj lažnega predstavljanja proti ameriški vladi. Te kampanje so bile usmerjene na e-poštne račune na visoki ravni z namenom kraje poverilnic in dostopa do dragocenih, pogosto tajnih podatkov. Ta taktika je ključni del COLDRIVER-jevega operativnega priročnika, ki združuje prikriti in družbeni inženiring, da uporabnike pretenta, da ogrozijo občutljive sisteme.
Ministrstvo za pravosodje je ugotovilo, da so akterji groženj kršili številne zakone o dostopu do računalnikov, vključno z nepooblaščenim dostopom do vladnih sistemov in zaščitenih računalnikov. Ta zlonamerna dejanja so povzročila znatno škodo, kar poudarja vztrajno in razvijajočo se naravo sodobne kibernetske kriminalitete.
Microsoftova civilna tožba pri spopadanju z omrežjem COLDRIVER
Vzporedno z zasegi domen je Microsoft sprejel pravne korake za nevtralizacijo 66 dodatnih internetnih domen, povezanih s COLDRIVER. Te domene so bile uporabljene za ciljanje na več kot 30 subjektov in organizacij civilne družbe med januarjem 2023 in avgustom 2024, pri čemer so se osredotočale predvsem na nevladne organizacije in možganske truste, ki podpirajo vladne uslužbence, vojaško osebje in uradnike obveščevalnih služb. Operacije skupine so se raztezale po državah Nata, kot sta Združeno kraljestvo in ZDA, s posebnim zanimanjem za organizacije, ki nudijo podporo Ukrajini, kar je jasen pokazatelj geopolitičnih ciljev Rusije.
Steven Masada, pomočnik generalnega svetovalca pri Microsoftovi enoti za digitalne zločine (DCU), je poudaril resnost teh kampanj. "Operacije Star Blizzarda so neizprosne, saj izkoriščajo zaupanje, zasebnost in domačnost vsakodnevnih digitalnih interakcij," je pripomnil. Poudaril je, da je bila skupina še posebej agresivna pri napadu na nekdanje obveščevalce, strokovnjake za ruske zadeve in celo ruske državljane, ki prebivajo v ZDA.
COLDRIVERjevo neusmiljeno iskanje podatkov
Od januarja 2023 je Microsoft identificiral 82 strank, ki so bile tarča COLDRIVER, kar je odraz vztrajnosti skupine. "Njihova pogostost poudarja marljivost skupine pri prepoznavanju tarč visoke vrednosti, oblikovanju prilagojenih lažnih e-poštnih sporočil in razvoju potrebne infrastrukture za krajo poverilnic," je dodal Masada. To neusmiljeno zasledovanje dokazuje, da skupina nenehno izpopolnjuje svoje metode, da bi bila pred obrambnimi ukrepi.
Žrtve, ki se pogosto ne zavedajo zlonamernih namenov v ozadju teh lažnih e-poštnih sporočil, nevede sodelujejo s temi goljufivimi sporočili. Posledično so njihove poverilnice ogrožene, ki kibernetskim kriminalcem omogočijo dostop do občutljivih podatkov in omrežij visoke vrednosti.
Korak naprej v boju proti kibernetskemu kriminalu
Skupna prizadevanja Microsofta in ameriške vlade pri zasegu teh domen pomenijo ključno zmago v sedanji vojni proti kibernetskim napadom, ki jih sponzorira država. Medtem ko to zatiranje za zdaj moti delovanje COLDRIVER-ja, zgodovina skupine kaže, da se bodo še naprej razvijali, zaradi česar je za vlade, organizacije in posameznike ključnega pomena, da ostanejo pozorni.
Zaseg teh domen je le en korak v širšem prizadevanju za zaščito občutljivih informacij, zavarovanje digitalnega zaupanja in pozivanje kiberkriminalcev k odgovornosti. Ker se kibernetske grožnje še naprej razvijajo, ni mogoče preceniti pomena močnih varnostnih ukrepov in usklajenih globalnih odzivov.