Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) anunciaron el jueves la incautación de 107 dominios de Internet utilizados por actores de amenazas patrocinados por el Estado y con vínculos con Rusia para facilitar el fraude y el abuso informático en el país.
«El gobierno ruso ejecutó este plan para robar información confidencial de los estadounidenses, utilizando cuentas de correo electrónico aparentemente legítimas para engañar a las víctimas para que revelen las credenciales de las cuentas». dicho Fiscal General Adjunta Lisa Mónaco.
La actividad se ha atribuido a un actor de amenazas llamado COLDRIVER, que también es conocido con los nombres Blue Callisto, BlueCharlie (o TAG-53), Calisto (escrito alternativamente Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057.
Activo desde al menos 2012, se considera que el grupo es una unidad operativa dentro del Centro 18 del Servicio Federal de Seguridad de Rusia (FSB).
En diciembre de 2023, los gobiernos de Reino Unido y Estados Unidos sancionaron a dos miembros del grupo (Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets) por sus actividades maliciosas de recolección de credenciales y campañas de phishing. Posteriormente, en junio de 2024, el Consejo Europeo impuso sanciones contra los mismos dos individuos.
El Departamento de Justicia dijo que los 41 dominios recientemente incautados fueron utilizados por los actores de amenazas para «cometer violaciones de acceso no autorizado a una computadora para obtener información de un departamento o agencia de los Estados Unidos, acceso no autorizado a una computadora para obtener información de una computadora protegida, y causar daños a una computadora protegida.»
Se alega que los dominios se utilizaron como parte de una campaña de phishing dirigida a las cuentas de correo electrónico del gobierno de EE. UU. y otras víctimas con el objetivo de recopilar credenciales y datos valiosos.
Paralelamente al anuncio, Microsoft lo dijo interpuso la correspondiente acción civil apoderarse de 66 dominios de Internet adicionales utilizados por COLDRIVER para identificar a más de 30 entidades y organizaciones de la sociedad civil entre enero de 2023 y agosto de 2024.
Esto incluyó ONG y grupos de expertos que apoyan a empleados gubernamentales y funcionarios militares y de inteligencia, en particular aquellos que brindan apoyo a Ucrania y en países de la OTAN como el Reino Unido y los EE. UU. El ataque de COLDRIVER a las ONG fue documentado previamente por Access Now y Citizen Lab en agosto de 2024. .
«Las operaciones de Star Blizzard son implacables y explotan la confianza, la privacidad y la familiaridad de las interacciones digitales cotidianas», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales (DCU) de Microsoft. dicho. «Han sido particularmente agresivos al atacar a ex funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos que residen en Estados Unidos».
El gigante tecnológico dijo que identificó 82 clientes que han sido atacados por el adversario desde enero de 2023, lo que demuestra una tenacidad por parte del grupo para evolucionar con nuevas tácticas y lograr sus objetivos estratégicos.
«Esta frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales», dijo Masada. «Sus víctimas, a menudo sin darse cuenta de la intención maliciosa, interactúan sin saberlo con estos mensajes que comprometen sus credenciales».