Sequestro de Domínios e a Atuação do Grupo COLDRIVER

No último anúncio conjunto da Microsoft e do Departamento de Justiça dos Estados Unidos (DoJ), a apreensão de 107 domínios da internet foi revelada, todos usados por atores de ameaças patrocinados pelo Estado, com vínculos à Rússia, para facilitar fraudes e abusos cibernéticos no país.

“O governo russo executou este esquema para roubar informações sensíveis dos americanos, usando contas de e-mail aparentemente legítimas para enganar as vítimas e fazê-las revelarem suas credenciais”, diz a vice-procuradora geral Lisa Monaco.

Identificação e Atividades do Grupo COLDRIVER

A atividade criminosa analisada foi atribuída a um grupo de ameaças conhecido como COLDRIVER, que também é conhecido por outros nomes como Blue Callisto, BlueCharlie (ou TAG-53), Calisto, Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057. Este grupo, considerado uma unidade operacional do Centro 18 do Serviço Federal de Segurança da Rússia (FSB), está ativo desde pelo menos 2012.

Em dezembro de 2023, os governos do Reino Unido e dos EUA sancionaram dois membros do grupo – Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets – devido às suas atividades maliciosas relacionadas à coleta de credenciais e campanhas de spear-phishing. Posteriormente, em junho de 2024, o Conselho Europeu impostou sanções contra os mesmos indivíduos.

Domínios Sequestrados e Suas Implicações

O DoJ informou que os 41 domínios recentemente apreendidos foram utilizados pelos atores de ameaças para “cometer violações de acesso não autorizado a computadores, obter informações de um departamento ou agência dos Estados Unidos, e causar danos a um computador protegido”.

• Os domínios foram utilizados como parte de uma campanha de spear-phishing direcionada aos e-mails do governo dos EUA e de outras vítimas, com o objetivo de coletar credenciais e dados valiosos.

Juntamente com o anúncio das apreensões, a Microsoft revelou que entrou com uma ação civil para apreender 66 domínios adicionais usados pelo COLDRIVER, que tinham como alvo mais de 30 entidades e organizações da sociedade civil entre janeiro de 2023 e agosto de 2024.

O Alvo de ONGs e Instituições de Pesquisa

As instituições visadas incluíam ONGs e think tanks que apoiam funcionários governamentais e oficiais de inteligência e militares, especialmente aqueles que prestam apoio à Ucrânia, além de países da OTAN, como o Reino Unido e os EUA. O foco do COLDRIVER em ONGs foi documentado anteriormente pela Access Now e pelo Citizen Lab em agosto de 2024.

“As operações do Star Blizzard são implacáveis, explorando a confiança, a privacidade e a familiaridade das interações digitais cotidianas”, afirmou Steven Masada, advogado assistente geral da Unidade de Crimes Digitais da Microsoft (DCU). “Eles têm sido particularmente agressivos na mira de antigos oficiais de inteligência, especialistas em assuntos russos e cidadãos russos residentes nos EUA.”

Resiliência e Táticas de Ataque

A Microsoft identificou 82 clientes que foram alvos do adversário desde janeiro de 2023, evidenciando a persistência do grupo em evoluir suas táticas para alcançar seus objetivos estratégicos.

“Essa frequência sublinha a diligência do grupo em identificar alvos de alto valor, elaborar e-mails de phishing personalizados e desenvolver a infraestrutura necessária para o roubo de credenciais”, disse Masada. “Suas vítimas, muitas vezes inconscientes da intenção maliciosa, interagem inadvertidamente com essas mensagens, levando à compromissos de suas credenciais.”

#Cibersegurança, #COLDRIVER, #Rússia, #FraudeCibernética, #Phishing, #Microsoft, #Domínios, #SegurançaDigital, #Hackers, #ONGs

autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/us-and-microsoft-seize-107-russian.html