Microsoft en het Amerikaanse ministerie van Justitie (DoJ) hebben donderdag de inbeslagname aangekondigd van 107 internetdomeinen die worden gebruikt door door de staat gesponsorde dreigingsactoren die banden hebben met Rusland om computerfraude en -misbruik in het land te vergemakkelijken.
“De Russische regering voerde dit plan uit om gevoelige informatie van Amerikanen te stelen, waarbij ze ogenschijnlijk legitieme e-mailaccounts gebruikte om slachtoffers te misleiden om accountgegevens vrij te geven”, aldus plaatsvervangend procureur-generaal Lisa Monaco.
De activiteit is toegeschreven aan een bedreigingsacteur genaamd COLDRIVER, ook bekend onder de namen Blue Callisto, BlueCharlie (of TAG-53), Calisto (afwisselend gespeld als Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (voorheen SEABORGIUM), TA446 en UNC4057.
De groep is actief sinds minstens 2012 en wordt beschouwd als een operationele eenheid binnen Centrum 18 van de Russische Federale Veiligheidsdienst (FSB).
In december 2023 hebben de Britse en Amerikaanse regeringen twee leden van de groep – Aleksandrovich Peretyatko en Andrey Stanislavovich Korinets – gesanctioneerd vanwege hun kwaadaardige activiteiten voor het verzamelen van inloggegevens en spear-phishing-campagnes. Vervolgens heeft de Europese Raad in juni 2024 sancties opgelegd aan dezelfde twee personen.
Het DoJ zei dat de nieuw in beslag genomen 41 domeinen door de bedreigingsactoren werden gebruikt om “schendingen te begaan van ongeautoriseerde toegang tot een computer om informatie te verkrijgen van een afdeling of agentschap van de Verenigde Staten, ongeautoriseerde toegang tot een computer om informatie te verkrijgen van een beschermde computer, en het veroorzaken van schade aan een beschermde computer.”
De domeinen zouden zijn gebruikt als onderdeel van een spearphishing-campagne gericht op de e-mailaccounts van de Amerikaanse overheid en andere slachtoffers met als doel inloggegevens en waardevolle gegevens te verzamelen.
Parallel aan de aankondiging zei Microsoft dat het een overeenkomstige civiele procedure had aangespannen om beslag te leggen op 66 extra internetdomeinen die door COLDRIVER werden gebruikt om tussen januari 2023 en augustus 2024 meer dan 30 maatschappelijke entiteiten en organisaties te selecteren.
Dit omvatte NGO’s en denktanks die overheidsmedewerkers en militaire en inlichtingenfunctionarissen ondersteunen, met name degenen die steun verlenen aan Oekraïne en in NAVO-landen zoals het VK en de VS. COLDRIVER’s doelwitten van NGO’s werden eerder gedocumenteerd door Access Now en het Citizen Lab in augustus 2024 .
“De activiteiten van Star Blizzard zijn meedogenloos en maken gebruik van het vertrouwen, de privacy en de vertrouwdheid van alledaagse digitale interacties”, zegt Steven Masada, assistent-algemeen adviseur bij de Digital Crimes Unit (DCU) van Microsoft. “Ze zijn bijzonder agressief geweest in het aanvallen van voormalige inlichtingenfunctionarissen, experts op het gebied van Russische zaken en Russische burgers die in de VS wonen”
De technologiegigant zei dat het 82 klanten heeft geïdentificeerd die sinds januari 2023 het doelwit zijn van de tegenstander, wat blijk geeft van de vasthoudendheid van de groep om met nieuwe tactieken te evolueren en hun strategische doelen te bereiken.
“Deze frequentie onderstreept de toewijding van de groep bij het identificeren van waardevolle doelwitten, het opstellen van gepersonaliseerde phishing-e-mails en het ontwikkelen van de noodzakelijke infrastructuur voor diefstal van inloggegevens”, aldus Masada. “Hun slachtoffers, die zich vaak niet bewust zijn van de kwaadaardige bedoelingen, gaan onbewust om met deze berichten, wat leidt tot het compromitteren van hun inloggegevens.”