US at Microsoft Strike Major Blow to Russian Cyber Fraud Pag-agaw ng 107 Domain sa Global Crackdown

Sa isang malaking pagsugpo laban sa cyber fraud, inihayag kamakailan ng Microsoft at ng US Department of Justice (DoJ) ang pag-agaw ng 107 mga domain sa internet na ginagamit ng mga cybercriminal na inisponsor ng estado ng Russia . Ang pagsisikap na ito ay bahagi ng isang patuloy na labanan upang pigilan ang mga cyberattack, lalo na ang mga nauugnay sa sensitibong pagnanakaw ng impormasyon at pag-abuso sa digital trust.

Ang Koneksyon sa Russia: Pag-target sa Data ng mga Amerikano

Ang mga domain na ito, na pinapatakbo ng mga aktor ng cyber threat na nakatali sa gobyerno ng Russia, ay pangunahing ginamit upang mapadali ang pandaraya at pang-aabuso sa computer. Ang layunin ng grupo? Upang nakawin ang sensitibong impormasyon ng mga Amerikano sa pamamagitan ng pang-akit sa mga biktima na ibunyag ang mga kredensyal sa pag-log in sa pamamagitan ng peke ngunit nakakumbinsi na mga email account. Sinabi ng Deputy Attorney General na si Lisa Monaco, "Ang gobyerno ng Russia ay nagpatakbo ng pamamaraang ito upang nakawin ang sensitibong impormasyon ng mga Amerikano, gamit ang tila mga lehitimong email account upang linlangin ang mga biktima na ibunyag ang mga kredensyal ng account."

Ang mga salarin sa likod ng mga cyberattack na ito ay iniuugnay sa isang grupong kilala bilang COLDRIVER. Bagama't maaaring hindi agad mag-bell ang pangalan, ang grupo ay kilala sa iba't ibang alyas : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard, at higit pa. Ang COLDRIVER, na tinutukoy din bilang TAG-53 at UNC4057, ay iniulat na isang operational unit sa ilalim ng Federal Security Service (FSB) ng Russia, na aktibo mula noong hindi bababa sa 2012.

Mga Sanction at ang Lumalagong Presyon sa COLDRIVER

Sa nakalipas na mga taon, ang mga pagsusumikap sa pagpapatupad ng batas ay lumakas laban sa grupo. Noong Disyembre 2023, nagpataw ng mga parusa ang mga gobyerno ng UK at US sa dalawa sa mga kilalang miyembro ng COLDRIVER : sina Aleksandrovich Peretyatko at Andrey Stanislavovich Korinets. Ang mga indibidwal na ito ay pinili para sa kanilang mga tungkulin sa pag-aani ng mga kredensyal at paglulunsad ng mga kampanyang spear-phishing—mga pagsisikap na lubos na naka-target na naglalayong makalusot sa mga sistema ng mga opisyal ng gobyerno ng US, mga tauhan ng militar, at mga organisasyon ng lipunang sibil. Ang karagdagang mga parusa ay nagmula sa European Council noong Hunyo 2024, na nagpapatuloy sa internasyonal na panggigipit sa grupo.

Ang Mga Domain - Isang Gateway sa Cyber Intrusions

Sa 107 domain na nasamsam, 41 ang pangunahing ginamit ng mga umaatake upang magsagawa ng mga kampanyang spear-phishing laban sa gobyerno ng US. Ang mga kampanyang ito ay nagta-target ng mga mataas na antas na email account na may layuning magnakaw ng mga kredensyal at ma-access ang mahalaga, kadalasang inuri, na impormasyon. Ang taktika na ito ay isang mahalagang bahagi ng operational playbook ng COLDRIVER, pinagsasama ang stealth at social engineering upang linlangin ang mga user na ikompromiso ang mga sensitibong system.

Nabanggit ng DoJ na ang mga aktor ng banta ay lumabag sa maraming batas sa pag-access sa computer, kabilang ang hindi awtorisadong pag-access sa mga sistema ng gobyerno at mga protektadong computer. Ang mga nakakahamak na pagkilos na ito ay nagdulot ng malaking pinsala, na binibigyang-diin ang patuloy at umuusbong na kalikasan ng modernong cybercrime.

Ang Civil Action ng Microsoft sa Pagharap sa Network ng COLDRIVER

Kaayon ng mga pag-agaw ng domain, gumawa ang Microsoft ng mga legal na hakbang upang i-neutralize ang 66 karagdagang mga domain sa internet na nauugnay sa COLDRIVER. Ginamit ang mga domain na ito upang i-target ang mahigit 30 entity at organisasyon ng civil society sa pagitan ng Enero 2023 at Agosto 2024, na pangunahing nakatuon sa mga NGO at think tank na sumusuporta sa mga empleyado ng gobyerno, tauhan ng militar, at mga opisyal ng intelligence. Ang mga operasyon ng grupo ay sumasaklaw sa mga bansa ng NATO tulad ng UK at US, na may partikular na interes sa mga organisasyong nagbibigay ng suporta sa Ukraine—isang malinaw na tagapagpahiwatig ng mga geopolitical na layunin ng Russia.

Binigyang-diin ni Steven Masada, assistant general counsel sa Digital Crimes Unit (DCU) ng Microsoft ang kalubhaan ng mga kampanyang ito. "Ang mga operasyon ng Star Blizzard ay walang humpay, sinasamantala ang tiwala, pagkapribado, at pagiging pamilyar ng mga pang-araw-araw na digital na pakikipag-ugnayan," sabi niya. Binigyang-diin niya na ang grupo ay naging partikular na agresibo sa pag-target sa mga dating opisyal ng intelligence, mga eksperto sa Russian affairs, at maging ang mga Russian citizen na naninirahan sa US.

Walang-humpay na Paghabol ng Data ng COLDRIVER

Mula noong Enero 2023, natukoy ng Microsoft ang 82 mga customer na na-target ng COLDRIVER, isang salamin ng pagtitiyaga ng grupo. "Ang kanilang dalas ay binibigyang-diin ang kasipagan ng grupo sa pagtukoy ng mga target na may mataas na halaga, paggawa ng mga personalized na email sa phishing, at pagbuo ng kinakailangang imprastraktura para sa pagnanakaw ng kredensyal," dagdag ni Masada. Ang walang humpay na pagtugis na ito ay nagpapakita na ang grupo ay patuloy na pinipino ang mga pamamaraan nito upang manatiling nangunguna sa mga hakbang sa pagtatanggol.

Ang mga biktima, na kadalasang walang kamalayan sa malisyosong layunin sa likod ng mga phishing na email na ito, ay hindi sinasadyang nakikipag-ugnayan sa mga mapanlinlang na mensaheng ito. Bilang resulta, nakompromiso ang kanilang mga kredensyal, na nagbibigay ng access sa mga cybercriminal sa sensitibong data at mga network na may mataas na halaga.

Isang Hakbang sa Pasulong sa Labanan Laban sa Cybercrime

Ang magkasanib na pagsisikap ng Microsoft at ng gobyerno ng US sa pag-agaw sa mga domain na ito ay nagmamarka ng isang kritikal na tagumpay sa patuloy na digmaan laban sa mga cyberattacks na inisponsor ng estado. Bagama't ang crackdown na ito ay nakakagambala sa mga operasyon ng COLDRIVER sa ngayon, ang kasaysayan ng grupo ay nagmumungkahi na sila ay patuloy na mag-evolve, na ginagawang mahalaga para sa mga pamahalaan, organisasyon, at indibidwal na manatiling mapagbantay.

Ang pag-agaw sa mga domain na ito ay isang hakbang lamang sa mas malawak na pagsisikap na protektahan ang sensitibong impormasyon, secure ang digital na tiwala, at panagutin ang mga cybercriminal. Habang patuloy na umuunlad ang mga banta sa cyber, hindi maaaring palakihin ang kahalagahan ng matatag na mga hakbang sa seguridad at magkakaugnay na mga tugon sa buong mundo.