Hoa Kỳ và Microsoft giáng đòn mạnh vào tội phạm mạng của Nga bằng cách tịch thu 107 tên miền trong cuộc đàn áp toàn cầu

Trong một chiến dịch trấn áp lớn chống gian lận mạng, Microsoft và Bộ Tư pháp Hoa Kỳ (DoJ) gần đây đã công bố việc tịch thu 107 tên miền internet được tội phạm mạng do nhà nước Nga tài trợ sử dụng. Nỗ lực này là một phần trong cuộc chiến đang diễn ra nhằm hạn chế các cuộc tấn công mạng, đặc biệt là những cuộc tấn công liên quan đến trộm cắp thông tin nhạy cảm và lạm dụng lòng tin kỹ thuật số.

Mối liên hệ của Nga: Nhắm mục tiêu vào dữ liệu của người Mỹ

Những tên miền này, do các tác nhân đe dọa mạng có liên hệ với chính phủ Nga điều hành, chủ yếu được sử dụng để tạo điều kiện cho gian lận và lạm dụng máy tính. Mục tiêu của nhóm này là gì? Đánh cắp thông tin nhạy cảm của người Mỹ bằng cách dụ nạn nhân tiết lộ thông tin đăng nhập thông qua các tài khoản email giả mạo nhưng có sức thuyết phục. Phó Tổng chưởng lý Lisa Monaco tuyên bố, "Chính phủ Nga đã điều hành kế hoạch này để đánh cắp thông tin nhạy cảm của người Mỹ, sử dụng các tài khoản email có vẻ hợp pháp để lừa nạn nhân tiết lộ thông tin đăng nhập tài khoản."

Những thủ phạm đằng sau các cuộc tấn công mạng này được cho là một nhóm có tên là COLDRIVER. Mặc dù cái tên này có thể không quen thuộc ngay lập tức, nhưng nhóm này khét tiếng với nhiều bí danh khác nhau : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard, v.v. COLDRIVER, còn được gọi là TAG-53 và UNC4057, được cho là một đơn vị hoạt động trực thuộc Cục An ninh Liên bang Nga (FSB), hoạt động ít nhất từ năm 2012.

Các lệnh trừng phạt và áp lực ngày càng tăng đối với COLDRIVER

Trong những năm gần đây, các nỗ lực thực thi pháp luật đã tăng cường chống lại nhóm này. Vào tháng 12 năm 2023, chính phủ Anh và Hoa Kỳ đã áp đặt lệnh trừng phạt đối với hai thành viên nổi bật của COLDRIVER : Aleksandrovich Peretyatko và Andrey Stanislavovich Korinets. Những cá nhân này đã bị chỉ trích vì vai trò của họ trong việc thu thập thông tin xác thực và phát động các chiến dịch lừa đảo qua email - những nỗ lực có mục tiêu cao nhằm xâm nhập vào hệ thống của các quan chức chính phủ Hoa Kỳ, quân nhân và các tổ chức xã hội dân sự. Các lệnh trừng phạt tiếp theo đến từ Hội đồng Châu Âu vào tháng 6 năm 2024, tiếp tục gây áp lực quốc tế lên nhóm này.

Các tên miền - Cổng vào các cuộc xâm nhập mạng

Trong số 107 tên miền bị tịch thu, 41 tên miền chủ yếu được những kẻ tấn công sử dụng để thực hiện các chiến dịch lừa đảo trực tuyến chống lại chính phủ Hoa Kỳ. Các chiến dịch này nhắm vào các tài khoản email cấp cao với mục đích đánh cắp thông tin đăng nhập và truy cập thông tin có giá trị, thường được phân loại. Chiến thuật này là một phần quan trọng trong sổ tay hoạt động của COLDRIVER, kết hợp giữa kỹ thuật ẩn danh và kỹ thuật xã hội để lừa người dùng xâm phạm các hệ thống nhạy cảm.

Bộ Tư pháp lưu ý rằng các tác nhân đe dọa đã vi phạm nhiều luật truy cập máy tính, bao gồm truy cập trái phép vào hệ thống chính phủ và máy tính được bảo vệ. Những hành động độc hại này gây ra thiệt hại đáng kể, nhấn mạnh bản chất dai dẳng và đang phát triển của tội phạm mạng hiện đại.

Hành động dân sự của Microsoft trong việc giải quyết mạng lưới COLDRIVER

Song song với việc tịch thu tên miền, Microsoft đã thực hiện các bước pháp lý để vô hiệu hóa 66 tên miền internet bổ sung có liên quan đến COLDRIVER. Các tên miền này được sử dụng để nhắm mục tiêu vào hơn 30 tổ chức và thực thể xã hội dân sự trong khoảng thời gian từ tháng 1 năm 2023 đến tháng 8 năm 2024, chủ yếu tập trung vào các tổ chức phi chính phủ và nhóm chuyên gia hỗ trợ nhân viên chính phủ, quân nhân và quan chức tình báo. Hoạt động của nhóm này trải dài trên khắp các quốc gia NATO như Vương quốc Anh và Hoa Kỳ, đặc biệt quan tâm đến các tổ chức hỗ trợ cho Ukraine—một chỉ báo rõ ràng về các mục tiêu địa chính trị của Nga.

Steven Masada, trợ lý cố vấn chung tại Đơn vị Tội phạm Kỹ thuật số (DCU) của Microsoft, đã nhấn mạnh mức độ nghiêm trọng của các chiến dịch này. "Các hoạt động của Star Blizzard không ngừng nghỉ, khai thác lòng tin, quyền riêng tư và sự quen thuộc của các tương tác kỹ thuật số hàng ngày", ông nhận xét. Ông nhấn mạnh rằng nhóm này đặc biệt hung hăng khi nhắm vào các cựu quan chức tình báo, chuyên gia về các vấn đề của Nga và thậm chí cả công dân Nga đang cư trú tại Hoa Kỳ

Sự theo đuổi dữ liệu không ngừng nghỉ của COLDRIVER

Kể từ tháng 1 năm 2023, Microsoft đã xác định được 82 khách hàng bị COLDRIVER nhắm mục tiêu, phản ánh sự kiên trì của nhóm. "Tần suất của họ nhấn mạnh sự siêng năng của nhóm trong việc xác định các mục tiêu có giá trị cao, tạo email lừa đảo được cá nhân hóa và phát triển cơ sở hạ tầng cần thiết để đánh cắp thông tin xác thực", Masada nói thêm. Cuộc truy đuổi không ngừng nghỉ này chứng tỏ rằng nhóm liên tục cải tiến các phương pháp của mình để đi trước các biện pháp phòng thủ.

Nạn nhân, thường không biết về ý định xấu đằng sau các email lừa đảo này, vô tình tham gia vào các tin nhắn lừa đảo này. Kết quả là, thông tin đăng nhập của họ bị xâm phạm, cho phép tội phạm mạng truy cập vào dữ liệu nhạy cảm và mạng có giá trị cao.

Một bước tiến trong cuộc chiến chống tội phạm mạng

Nỗ lực chung của Microsoft và chính phủ Hoa Kỳ trong việc chiếm giữ các tên miền này đánh dấu một chiến thắng quan trọng trong cuộc chiến đang diễn ra chống lại các cuộc tấn công mạng do nhà nước tài trợ. Mặc dù cuộc đàn áp này làm gián đoạn hoạt động của COLDRIVER hiện tại, nhưng lịch sử của nhóm cho thấy rằng chúng sẽ tiếp tục phát triển, khiến các chính phủ, tổ chức và cá nhân phải luôn cảnh giác.

Việc tịch thu các tên miền này chỉ là một bước trong nỗ lực rộng lớn hơn nhằm bảo vệ thông tin nhạy cảm, bảo mật niềm tin kỹ thuật số và buộc tội phạm mạng phải chịu trách nhiệm. Khi các mối đe dọa mạng tiếp tục phát triển, tầm quan trọng của các biện pháp bảo mật mạnh mẽ và các phản ứng toàn cầu được phối hợp không thể được cường điệu hóa.