美国和微软对俄罗斯网络欺诈行为进行重击，在全球打击行动中查获 107 个域名

在打击网络欺诈的大规模行动中，微软和美国司法部 (DoJ) 最近宣布查封了俄罗斯政府支持的网络犯罪分子使用的 107 个互联网域名。这项努力是持续打击网络攻击的一部分，特别是与敏感信息窃取和滥用数字信任有关的攻击。

俄罗斯的介入：瞄准美国人的数据

这些域名由与俄罗斯政府有关联的网络威胁者运营，主要用于促进计算机欺诈和滥用。该组织的目标是什么？通过虚假但令人信服的电子邮件账户诱骗受害者泄露登录凭据，窃取美国人的敏感信息。副检察长丽莎·莫纳科表示：“俄罗斯政府实施这一计划是为了窃取美国人的敏感信息，使用看似合法的电子邮件账户诱骗受害者泄露账户凭据。”

这些网络攻击的幕后黑手是一个名为 COLDRIVER 的组织。虽然这个名字可能不太为人熟知，但该组织以各种别名而臭名昭著：Blue Callisto、BlueCharlie、Dancing Salome、Gossamer Bear、Star Blizzard 等等。据报道，COLDRIVER 也被称为 TAG-53 和 UNC4057，是俄罗斯联邦安全局 (FSB) 下属的一个行动单位，自 2012 年以来一直活跃。

制裁和 COLDRIVER 面临的日益增加的压力

近年来，执法部门加大了对该组织的打击力度。2023 年 12 月，英国和美国政府对COLDRIVER 的两名重要成员实施了制裁：Aleksandrovich Peretyatko 和 Andrey Stanislavovich Korinets。这些人因在收集凭证和发起鱼叉式网络钓鱼活动中扮演的角色而被单独列出——这些活动具有高度针对性，旨在渗透美国政府官员、军事人员和民间社会组织的系统。2024 年 6 月，欧洲理事会实施了进一步制裁，继续对该组织施加国际压力。

域名——网络入侵的门户

在被查获的 107 个域名中，有 41 个主要被攻击者用于针对美国政府实施鱼叉式网络钓鱼活动。这些活动针对的是高级电子邮件账户，目的是窃取凭证并访问有价值的、通常是机密的信息。这种策略是 COLDRIVER 运营策略的关键部分，它结合了隐身和社会工程学，诱骗用户入侵敏感系统。

美国司法部指出，威胁行为者违反了多项计算机访问法，包括未经授权访问政府系统和受保护的计算机。这些恶意行为造成了重大损失，凸显了现代网络犯罪的持续性和不断演变性。

微软针对 COLDRIVER 网络的民事诉讼

在查封域名的同时，微软采取法律措施，封杀了与 COLDRIVER 相关的另外 66 个互联网域名。2023 年 1 月至 2024 年 8 月期间，这些域名被用来攻击 30 多个民间社会实体和组织，主要针对支持政府雇员、军事人员和情报官员的非政府组织和智库。该组织的行动遍及英国和美国等北约国家，尤其关注为乌克兰提供支持的组织——这清楚地表明了俄罗斯的地缘政治目标。

微软数字犯罪部门 (DCU) 助理总法律顾问 Steven Masada 强调了这些活动的严重性。“Star Blizzard 的行动非常残酷，利用了日常数字互动中的信任、隐私和熟悉度，”他评论道。他强调，该组织特别积极地针对前情报官员、俄罗斯事务专家，甚至居住在美国的俄罗斯公民

COLDRIVER 对数据的不懈追求

自 2023 年 1 月以来，微软已确定有 82 名客户成为 COLDRIVER 的目标，这反映出该组织的持久性。Masada 补充道：“他们的频繁行动凸显了该组织在识别高价值目标、制作个性化网络钓鱼电子邮件以及开发凭证盗窃所需基础设施方面的勤勉。”这种不懈的追求表明，该组织正在不断改进其方法，以保持领先于防御措施。

受害者通常不知道这些钓鱼邮件背后的恶意，在不知情的情况下接收了这些欺诈信息。结果，他们的凭证被盗用，让网络犯罪分子得以访问敏感数据和高价值网络。

打击网络犯罪迈出一步

微软和美国政府共同努力夺取这些域名，标志着持续打击国家支持的网络攻击的战争取得了关键胜利。虽然这次打击暂时扰乱了 COLDRIVER 的运营，但该组织的历史表明，他们将继续发展，因此政府、组织和个人必须保持警惕。

查封这些域名只是保护敏感信息、确保数字信任和追究网络犯罪分子责任的更广泛努力中的一步。随着网络威胁不断演变，强有力的安全措施和协调一致的全球响应的重要性怎么强调也不为过。