USA och Microsoft slår ett stort slag mot ryskt cyberbedrägeri som beslagtar 107 domäner i globalt tillslag
I ett stort tillslag mot cyberbedrägeri tillkännagav Microsoft och det amerikanska justitiedepartementet (DoJ) nyligen beslagtagandet av 107 internetdomäner som används av ryska statligt sponsrade cyberbrottslingar . Denna insats är en del av en pågående kamp för att stävja cyberattacker, särskilt de som är kopplade till känslig informationsstöld och missbruk av digitalt förtroende.
Innehållsförteckning
Den ryska kopplingen: Inriktning på amerikanernas data
Dessa domäner, som drivs av cyberhotsaktörer knutna till den ryska regeringen, användes främst för att underlätta datorbedrägeri och missbruk. Gruppens mål? Att stjäla amerikanernas känsliga information genom att locka offer att avslöja inloggningsuppgifter via falska men övertygande e-postkonton. Biträdande justitieminister Lisa Monaco sa: "Den ryska regeringen körde detta system för att stjäla amerikanernas känsliga information, och använde till synes legitima e-postkonton för att lura offren att avslöja kontouppgifter."
De skyldiga bakom dessa cyberattacker tillskrivs en grupp som kallas COLDRIVER. Även om namnet kanske inte omedelbart ringer en klocka, är gruppen ökänd under en mängd olika alias : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard och mer. COLDRIVER, även kallad TAG-53 och UNC4057, är enligt uppgift en operativ enhet under Rysslands federala säkerhetstjänst (FSB), verksam sedan åtminstone 2012.
Sanktioner och det växande trycket på COLDRIVER
Under de senaste åren har brottsbekämpande ansträngningar ökat mot gruppen. I december 2023 införde Storbritanniens och USA:s regeringar sanktioner mot två av COLDRIVERs framstående medlemmar : Aleksandrovich Peretyatko och Andrey Stanislavovich Korinets. Dessa individer pekas ut för sina roller i att skörda referenser och lansera spjutfiskekampanjer – mycket riktade insatser som syftar till att infiltrera systemen hos amerikanska regeringstjänstemän, militär personal och civilsamhällesorganisationer. Ytterligare sanktioner kom från Europeiska rådet i juni 2024, vilket fortsatte det internationella trycket på gruppen.
Domänerna – en port till cyberintrång
Av de 107 beslagtagna domänerna användes 41 främst av angriparna för att genomföra spjutfiskekampanjer mot den amerikanska regeringen. Dessa kampanjer var inriktade på e-postkonton på hög nivå med syftet att stjäla referenser och få tillgång till värdefull, ofta hemligstämplad, information. Denna taktik är en viktig del av COLDRIVERS operativa spelbok, som blandar smyg och social ingenjörskonst för att lura användare att kompromissa med känsliga system.
DoJ noterade att hotaktörerna bröt mot flera lagar om datoråtkomst, inklusive obehörig åtkomst till statliga system och skyddade datorer. Dessa skadliga handlingar orsakade betydande skada, vilket understryker den ihållande och utvecklande karaktären hos modern cyberbrottslighet.
Microsofts civila åtgärder för att ta itu med COLDRIVER:s nätverk
Parallellt med beslagtagandet av domänen vidtog Microsoft juridiska åtgärder för att neutralisera ytterligare 66 internetdomäner associerade med COLDRIVER. Dessa domäner användes för att rikta in sig på över 30 enheter och organisationer från det civila samhället mellan januari 2023 och augusti 2024, främst med fokus på icke-statliga organisationer och tankesmedjor som stöder statligt anställda, militär personal och underrättelsetjänstemän. Gruppens verksamhet sträckte sig över NATO-länder som Storbritannien och USA, med ett särskilt intresse av organisationer som ger stöd till Ukraina – en tydlig indikator på Rysslands geopolitiska mål.
Steven Masada, biträdande chefsjurist vid Microsofts Digital Crimes Unit (DCU), lyfte fram allvaret i dessa kampanjer. "Star Blizzards verksamhet är obeveklig och utnyttjar förtroendet, integriteten och förtrogenhet med vardagliga digitala interaktioner", anmärkte han. Han betonade att gruppen har varit särskilt aggressiv när det gäller att rikta in sig på tidigare underrättelsetjänstemän, experter på ryska angelägenheter och till och med ryska medborgare som är bosatta i USA
COLDRIVERs obevekliga jakt på data
Sedan januari 2023 har Microsoft identifierat 82 kunder som har blivit måltavla av COLDRIVER, en återspegling av gruppens uthållighet. "Deras frekvens understryker gruppens flit när det gäller att identifiera värdefulla mål, skapa personliga nätfiske-e-postmeddelanden och utveckla den nödvändiga infrastrukturen för identitetsstöld," tillade Masada. Denna obevekliga jakt visar att gruppen ständigt förfinar sina metoder för att ligga steget före defensiva åtgärder.
Offren, ofta omedvetna om den skadliga avsikten bakom dessa nätfiske-e-postmeddelanden, engagerar sig omedvetet med dessa bedrägliga meddelanden. Som ett resultat äventyras deras referenser, vilket ger cyberbrottslingar tillgång till känslig data och högvärdiga nätverk.
Ett steg framåt i kampen mot cyberbrottslighet
Microsofts och den amerikanska regeringens gemensamma ansträngningar för att beslagta dessa domäner markerar en avgörande seger i det pågående kriget mot statligt sponsrade cyberattacker. Även om detta tillslag stör COLDRIVERs verksamhet för tillfället, tyder gruppens historia på att de kommer att fortsätta att utvecklas, vilket gör det avgörande för regeringar, organisationer och individer att vara vaksamma.
Beslagtagandet av dessa domäner är bara ett steg i en bredare ansträngning för att skydda känslig information, säkra digitalt förtroende och hålla cyberbrottslingar ansvariga. Eftersom cyberhoten fortsätter att utvecklas kan vikten av robusta säkerhetsåtgärder och samordnade globala reaktioner inte överskattas.