Microsoft ve ABD Adalet Bakanlığı (DoJ) Perşembe günü, Rusya ile bağlantısı olan devlet destekli tehdit aktörleri tarafından ülkede bilgisayar dolandırıcılığı ve suiistimalini kolaylaştırmak amacıyla kullanılan 107 internet alan adının ele geçirildiğini duyurdu.
“Rus hükümeti bu planı Amerikalıların hassas bilgilerini çalmak için yürüttü; görünüşte meşru e-posta hesaplarını kullanarak kurbanları hesap bilgilerini açıklamaları için kandırdı.” söz konusu Başsavcı Yardımcısı Lisa Monaco.
Faaliyet, Blue Callisto, BlueCharlie (veya TAG-53), Calisto (alternatif olarak Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (eski adıyla) isimleriyle de bilinen COLDRIVER adlı bir tehdit aktörüne atfedilmiştir. SEABORGIUM), TA446 ve UNC4057.
En az 2012 yılından bu yana aktif olan grubun, Rusya Federal Güvenlik Servisi’nin (FSB) 18. Merkezi bünyesinde operasyonel bir birim olduğu değerlendiriliyor.
Aralık 2023’te Birleşik Krallık ve ABD hükümetleri, grubun iki üyesine (Aleksandrovich Peretyatko ve Andrey Stanislavovich Korinets) kötü niyetli kimlik bilgisi toplama faaliyetleri ve hedef odaklı kimlik avı kampanyaları nedeniyle yaptırım uyguladı. Daha sonra Haziran 2024’te Avrupa Konseyi aynı iki kişiye yaptırım uyguladı.
Adalet Bakanlığı, yeni ele geçirilen 41 alan adının, tehdit aktörleri tarafından “Amerika Birleşik Devletleri’nin bir departmanından veya kurumundan bilgi almak için bir bilgisayara yetkisiz erişim ihlalleri, korunan bir bilgisayardan bilgi almak için bir bilgisayara yetkisiz erişim, ve korunan bir bilgisayara zarar veriyor.”
Alan adlarının, kimlik bilgileri ve değerli verileri toplamak amacıyla ABD hükümetinin ve diğer kurbanların e-posta hesaplarını hedef alan bir hedef odaklı kimlik avı kampanyasının parçası olarak kullanıldığı iddia ediliyor.
Duyuruya paralel olarak Microsoft şunları söyledi: ilgili bir hukuk davası açtı Ocak 2023 ile Ağustos 2024 arasında COLDRIVER tarafından 30’dan fazla sivil toplum kuruluşu ve kuruluşunu belirlemek için kullanılan 66 ek internet alan adının ele geçirilmesi.
Buna hükümet çalışanlarını, askeri ve istihbarat yetkililerini destekleyen STK’lar ve düşünce kuruluşları da dahildi; özellikle Ukrayna’ya ve Birleşik Krallık ile ABD gibi NATO ülkelerine destek sağlayanlar. COLDRIVER’ın STK’ları hedef alması daha önce Access Now ve Citizen Lab tarafından Ağustos 2024’te belgelenmişti. .
Microsoft Dijital Suçlar Birimi (DCU) genel danışman yardımcısı Steven Masada, “Star Blizzard’ın operasyonları aralıksız; günlük dijital etkileşimlerin güvenini, mahremiyetini ve aşinalığını istismar ediyor” dedi. söz konusu. “Eski istihbarat yetkililerini, Rus işleri uzmanlarını ve ABD’de ikamet eden Rus vatandaşlarını hedef alma konusunda özellikle agresif davrandılar”
Teknoloji devi, Ocak 2023’ten bu yana düşman tarafından hedef alınan 82 müşteriyi tespit ettiğini ve bunun, grubun yeni taktiklerle gelişme ve stratejik hedeflerine ulaşma konusundaki kararlılığını gösterdiğini söyledi.
Masada, “Bu sıklık, grubun yüksek değerli hedefleri belirleme, kişiselleştirilmiş kimlik avı e-postaları oluşturma ve kimlik bilgisi hırsızlığı için gerekli altyapıyı geliştirme konusundaki titizliğinin altını çiziyor” dedi. “Kurbanları, genellikle kötü niyetli niyetin farkında olmadan, bilmeden bu mesajlarla etkileşime girerek kimlik bilgilerinin tehlikeye atılmasına yol açıyor.”