Microsoft ve ABD Adalet Bakanlığı (DoJ) Perşembe günü, Rusya ile bağlantısı olan devlet destekli tehdit aktörleri tarafından ülkede bilgisayar dolandırıcılığı ve suiistimalini kolaylaştırmak amacıyla kullanılan 107 internet alan adının ele geçirildiğini duyurdu.
Başsavcı Yardımcısı Lisa Monaco, “Rus hükümeti, mağdurları hesap bilgilerini açıklamaları için kandırmak amacıyla görünürde meşru e-posta hesaplarını kullanarak, Amerikalıların hassas bilgilerini çalmak için bu planı yürüttü” dedi.
Faaliyet, Blue Callisto, BlueCharlie (veya TAG-53), Calisto (alternatif olarak Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (eski adıyla) isimleriyle de bilinen COLDRIVER adlı bir tehdit aktörüne atfedilmiştir. SEABORGIUM), TA446 ve UNC4057.
En az 2012’den bu yana aktif olan grubun, Rusya Federal Güvenlik Servisi’nin (FSB) 18. Merkezi bünyesinde operasyonel bir birim olduğu değerlendiriliyor.
Aralık 2023’te Birleşik Krallık ve ABD hükümetleri, grubun iki üyesine (Aleksandrovich Peretyatko ve Andrey Stanislavovich Korinets) kötü niyetli kimlik bilgisi toplama faaliyetleri ve hedef odaklı kimlik avı kampanyaları nedeniyle yaptırım uyguladı. Daha sonra Haziran 2024’te Avrupa Konseyi aynı iki kişiye yaptırım uyguladı.
Adalet Bakanlığı, yeni ele geçirilen 41 alan adının, tehdit aktörleri tarafından “Amerika Birleşik Devletleri’nin bir departmanından veya kurumundan bilgi almak için bir bilgisayara yetkisiz erişim ihlalleri, korunan bir bilgisayardan bilgi almak için bir bilgisayara yetkisiz erişim, ve korunan bir bilgisayara zarar veriyor.”
Alan adlarının, kimlik bilgileri ve değerli verileri toplamak amacıyla ABD hükümetinin ve diğer kurbanların e-posta hesaplarını hedef alan bir hedef odaklı kimlik avı kampanyasının parçası olarak kullanıldığı iddia ediliyor.
Duyuruya paralel olarak Microsoft, Ocak 2023 ile Ağustos 2024 arasında 30’dan fazla sivil toplum kuruluşu ve kuruluşunu ayırmak için COLDRIVER tarafından kullanılan 66 ek internet alanına el koymak için ilgili bir hukuk davası açtığını söyledi.
Buna hükümet çalışanlarını, askeri ve istihbarat yetkililerini destekleyen STK’lar ve düşünce kuruluşları da dahildi; özellikle Ukrayna’ya ve Birleşik Krallık ile ABD gibi NATO ülkelerine destek sağlayanlar. COLDRIVER’ın STK’ları hedef alması daha önce Access Now ve Citizen Lab tarafından Ağustos 2024’te belgelenmişti. .
Microsoft’un Dijital Suçlar Birimi (DCU) genel danışman yardımcısı Steven Masada, “Star Blizzard’ın operasyonları aralıksız; günlük dijital etkileşimlerin güvenini, mahremiyetini ve aşinalığını istismar ediyor” dedi. “Eski istihbarat yetkililerini, Rus işleri uzmanlarını ve ABD’de ikamet eden Rus vatandaşlarını hedef alma konusunda özellikle agresif davrandılar”
Teknoloji devi, Ocak 2023’ten bu yana düşman tarafından hedef alınan 82 müşteriyi tespit ettiğini ve bunun, grubun yeni taktiklerle gelişme ve stratejik hedeflerine ulaşma konusundaki kararlılığını gösterdiğini söyledi.
Masada, “Bu sıklık, grubun yüksek değerli hedefleri belirleme, kişiselleştirilmiş kimlik avı e-postaları oluşturma ve kimlik bilgisi hırsızlığı için gerekli altyapıyı geliştirme konusundaki titizliğinin altını çiziyor” dedi. “Kurbanları, genellikle kötü niyetli niyetin farkında olmadan, bilmeden bu mesajlarla etkileşime girerek kimlik bilgilerinin tehlikeye atılmasına yol açıyor.”