Microsoft et le ministère américain de la Justice (DoJ) ont annoncé jeudi la saisie de 107 domaines Internet utilisés par des acteurs menaçants parrainés par l’État et ayant des liens avec la Russie pour faciliter la fraude et les abus informatiques dans le pays.
« Le gouvernement russe a mis en place ce stratagème pour voler des informations sensibles aux Américains, en utilisant des comptes de messagerie apparemment légitimes pour inciter les victimes à révéler les informations d’identification de leur compte », dit Sous-procureure générale Lisa Monaco.
L’activité a été attribuée à un acteur menaçant appelé COLDRIVER, également connu sous les noms de Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativement orthographié Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anciennement SEABORGIUM), TA446 et UNC4057.
Actif depuis au moins 2012, le groupe est considéré comme une unité opérationnelle au sein du Centre 18 du Service fédéral de sécurité (FSB) russe.
En décembre 2023, les gouvernements britannique et américain ont sanctionné deux membres du groupe – Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets – pour leurs activités malveillantes de collecte d’informations d’identification et leurs campagnes de spear phishing. Par la suite, en juin 2024, le Conseil européen a imposé des sanctions contre ces deux mêmes personnes.
Le DoJ a déclaré que les 41 domaines nouvellement saisis ont été utilisés par les auteurs de la menace pour « commettre des violations d’accès non autorisé à un ordinateur pour obtenir des informations d’un département ou d’une agence des États-Unis, d’accès non autorisé à un ordinateur pour obtenir des informations à partir d’un ordinateur protégé, et causer des dommages à un ordinateur protégé. »
Les domaines auraient été utilisés dans le cadre d’une campagne de spear phishing ciblant les comptes de messagerie du gouvernement américain et d’autres victimes dans le but de collecter des informations d’identification et des données précieuses.
Parallèlement à l’annonce, Microsoft l’a déclaré a intenté une action civile correspondante pour saisir 66 domaines Internet supplémentaires utilisés par COLDRIVER pour identifier plus de 30 entités et organisations de la société civile entre janvier 2023 et août 2024.
Cela comprenait des ONG et des groupes de réflexion qui soutiennent les employés du gouvernement et les responsables de l’armée et du renseignement, en particulier ceux qui fournissent un soutien à l’Ukraine et aux pays de l’OTAN tels que le Royaume-Uni et les États-Unis. Le ciblage des ONG par COLDRIVER a déjà été documenté par Access Now et le Citizen Lab en août 2024. .
« Les opérations de Star Blizzard sont implacables, exploitant la confiance, la confidentialité et la familiarité des interactions numériques quotidiennes », a déclaré Steven Masada, avocat général adjoint à la Digital Crimes Unit (DCU) de Microsoft. dit. « Ils ont été particulièrement agressifs en ciblant d’anciens responsables du renseignement, des experts des affaires russes et des citoyens russes résidant aux États-Unis. »
Le géant de la technologie a déclaré avoir identifié 82 clients ciblés par l’adversaire depuis janvier 2023, démontrant la ténacité du groupe à évoluer avec de nouvelles tactiques et à atteindre ses objectifs stratégiques.
« Cette fréquence souligne la diligence du groupe dans l’identification de cibles de grande valeur, la création d’e-mails de phishing personnalisés et le développement de l’infrastructure nécessaire au vol d’informations d’identification », a déclaré Masada. « Leurs victimes, souvent ignorantes de l’intention malveillante, interagissent sans le savoir avec ces messages, ce qui conduit à la compromission de leurs informations d’identification. »