США та Microsoft завдали серйозного удару російському кібершахрайству. Захопили 107 доменів під час глобального придушення
У масштабній боротьбі з кібершахрайством Microsoft і Міністерство юстиції США (DoJ) нещодавно оголосили про арешт 107 інтернет-доменів, які використовувалися російськими державними кіберзлочинцями . Ці зусилля є частиною поточної боротьби за стримування кібератак, зокрема тих, які пов’язані з крадіжкою конфіденційної інформації та зловживанням цифровою довірою.
Зміст
Російський зв'язок: націлювання на дані американців
Ці домени, якими керують суб’єкти кіберзагроз, пов’язані з російським урядом, в основному використовувалися для сприяння комп’ютерному шахрайству та зловживанням. Ціль групи? Щоб викрасти конфіденційну інформацію американців, спонукаючи жертв розкрити облікові дані за допомогою підроблених, але переконливих облікових записів електронної пошти. Заступник генерального прокурора Ліза Монако заявила: «Російський уряд запустив цю схему для викрадення конфіденційної інформації американців, використовуючи, здавалося б, законні облікові записи електронної пошти, щоб обманом змусити жертв розкрити облікові дані».
Винуватців цих кібератак приписують групі, відомій як COLDRIVER. Незважаючи на те, що назва може не відразу звучати, група сумно відома під різними псевдонімами : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard тощо. Повідомляється, що COLDRIVER, також відомий як TAG-53 і UNC4057, є оперативним підрозділом Федеральної служби безпеки (ФСБ) Росії, який діє принаймні з 2012 року.
Санкції та зростаючий тиск на COLDRIVER
В останні роки правоохоронні органи активізували проти цієї групи. У грудні 2023 року уряди Великої Британії та США наклали санкції на двох відомих членів COLDRIVER : Олександровича Перетятька та Андрія Станіславовича Корінця. Ці особи були виділені за їхню роль у збиранні облікових даних і запуску фішингових кампаній — чітко цілеспрямованих зусиль, спрямованих на проникнення в системи урядовців США, військового персоналу та організацій громадянського суспільства. Подальші санкції надійшли від Європейської ради в червні 2024 року, продовжуючи міжнародний тиск на групу.
Домени – це шлях до кібервторгнень
Серед 107 конфіскованих доменів 41 використовувався зловмисниками для здійснення фішингових кампаній проти уряду США. Ці кампанії були націлені на облікові записи електронної пошти високого рівня з метою викрадення облікових даних і доступу до цінної, часто секретної інформації. Ця тактика є ключовою частиною операційної методики COLDRIVER, яка поєднує скритність і соціальну інженерію, щоб обманом змусити користувачів зламати чутливі системи.
Міністерство юстиції зазначило, що зловмисники порушили численні закони про доступ до комп’ютерів, включаючи несанкціонований доступ до державних систем і захищених комп’ютерів. Ці зловмисні дії завдали значної шкоди, підкреслюючи стійкий характер сучасної кіберзлочинності, що розвивається.
Громадянський позов Microsoft щодо боротьби з мережею COLDRIVER
Паралельно з конфіскацією доменів Microsoft вжила юридичних заходів для нейтралізації 66 додаткових інтернет-доменів, пов’язаних з COLDRIVER. У період із січня 2023 року по серпень 2024 року ці домени використовувалися для націлювання на понад 30 організацій та організацій громадянського суспільства, головним чином зосереджуючись на НУО та аналітичних центрах, які підтримують державних службовців, військовослужбовців і співробітників розвідки. Операції групи охоплювали країни НАТО, такі як Велика Британія та США, з особливим інтересом до організацій, що надають підтримку Україні, що є чітким показником геополітичних цілей Росії.
Стівен Масада, помічник генерального юрисконсульта відділу цифрових злочинів Microsoft (DCU), підкреслив серйозність цих кампаній. «Операції Star Blizzard невпинні, використовуючи довіру, конфіденційність і звичність повсякденних цифрових взаємодій», — зазначив він. Він підкреслив, що угруповання було особливо агресивним у нападах на колишніх співробітників розвідки, експертів з російських справ і навіть громадян Росії, які проживають у США.
Невпинна гонитва COLDRIVER за даними
З січня 2023 року Microsoft виявила 82 клієнти, які були ціллю COLDRIVER, що свідчить про наполегливість групи. «Їх частота підкреслює старанність групи у визначенні цінних цілей, створенні персоналізованих фішингових електронних листів і розробці необхідної інфраструктури для крадіжки облікових даних», — додав Масада. Ця невпинна гонитва демонструє, що група постійно вдосконалює свої методи, щоб випереджати оборонні заходи.
Жертви, часто не підозрюючи про зловмисний намір, що стоїть за цими фішинговими електронними листами, несвідомо взаємодіють із цими шахрайськими повідомленнями. У результаті їхні облікові дані скомпрометовані, надаючи кіберзлочинцям доступ до конфіденційних даних і цінних мереж.
Крок вперед у боротьбі з кіберзлочинністю
Спільні зусилля Microsoft і уряду США щодо захоплення цих доменів знаменують важливу перемогу в триваючій війні проти кібератак, спонсорованих державою. Хоча ці репресії наразі порушують діяльність COLDRIVER, історія групи свідчить про те, що вони продовжуватимуть розвиватися, що робить надзвичайно важливим для урядів, організацій та окремих осіб залишатися пильними.
Вилучення цих доменів є лише одним із кроків у ширших зусиллях із захисту конфіденційної інформації, захисту цифрової довіри та притягнення кіберзлочинців до відповідальності. Оскільки кіберзагрози продовжують розвиватися, важливість надійних заходів безпеки та скоординованої глобальної відповіді неможливо переоцінити.