Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) anunciaron el jueves la incautación de 107 dominios de Internet utilizados por actores de amenazas patrocinados por el Estado y con vínculos con Rusia para facilitar el fraude y el abuso cibernéticos en el país.
«El gobierno ruso creó este plan para robar información confidencial de los estadounidenses, utilizando cuentas de correo electrónico aparentemente legítimas para engañar a las víctimas para que revelen las credenciales de sus cuentas». dicho Fiscal General Adjunta Lisa Mónaco.
La actividad se ha rastreado hasta un actor de amenazas llamado COLDRIVER, también conocido como Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446. y UNC4057.
Activo desde al menos 2012, el grupo se considera una unidad operativa dentro del Centro 18 del Servicio Federal de Seguridad de Rusia (FSB).
En diciembre de 2023, los gobiernos británico y estadounidense sancionaron a dos miembros del grupo (Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets) por sus actividades maliciosas de recolección de credenciales y campañas de phishing. Posteriormente, en junio de 2024, el Consejo Europeo impuso sanciones contra estos mismos dos individuos.
El Departamento de Justicia dijo que los 41 dominios recientemente incautados fueron utilizados por los actores de amenazas para «cometer violaciones de acceso no autorizado a una computadora para obtener información de un departamento o agencia de los Estados Unidos, acceso no autorizado a una computadora para obtener información de una computadora protegida, y causar daños a una computadora protegida.»
Los dominios supuestamente se utilizaron como parte de una campaña de phishing dirigida a las cuentas de correo electrónico del gobierno de EE. UU. y otras víctimas en un intento de recopilar credenciales y datos valiosos.
Junto al anuncio, Microsoft dijo interpuso la correspondiente acción civil para capturar 66 dominios de Internet adicionales utilizados por COLDRIVER para identificar más de 30 entidades y organizaciones de la sociedad civil entre enero de 2023 y agosto de 2024.
Esto incluía ONG y grupos de expertos que apoyan a empleados gubernamentales y funcionarios militares y de inteligencia, en particular aquellos que brindan apoyo a Ucrania y países de la OTAN como el Reino Unido y Estados Unidos. El ataque de COLDRIVER a las ONG ya fue documentado por Access Now y Citizen Lab en agosto de 2024.
«Las operaciones de Star Blizzard son implacables y explotan la confianza, la privacidad y la familiaridad de las interacciones digitales cotidianas», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales (DCU) de Microsoft. dicho. “Han sido particularmente agresivos al atacar a ex funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos que residen en Estados Unidos. »
El gigante tecnológico dijo que ha identificado 82 clientes objetivo de adversarios desde enero de 2023, lo que demuestra la tenacidad del grupo para evolucionar con nuevas tácticas y lograr sus objetivos estratégicos.
«Esta frecuencia resalta la diligencia del grupo a la hora de identificar objetivos de alto valor, crear correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales», dijo Masada. «Sus víctimas, a menudo sin darse cuenta de la intención maliciosa, interactúan sin saberlo con estos mensajes, lo que hace que sus credenciales se vean comprometidas».
