Amerika Birleşik Devletleri Columbia Bölgesi Bölge Mahkemesi bugün (3 Ekim), Microsoft’un Dijital Suçlar Birimi (DCU) tarafından, çeşitli adlarla bilinen Rus devleti tehdit aktörü tarafından kullanılan 66 benzersiz alan adının ele geçirilmesine izin veren bir emir de dahil olmak üzere açılan bir hukuk davasını açıkladı. Star Blizzard, Coldriver ve Callisto.
Star Blizzard’ın, hedef odaklı kimlik avı girişimleri aracılığıyla yürütülen uzun bir kampanyada bu alan adlarını dünya çapındaki Microsoft müşterilerini gözetlemek için kullandığı iddia ediliyor. Mağdurlar arasında gazeteciler ve medya kuruluşları, sivil toplum kuruluşları (STK’lar) ve düşünce kuruluşları gibi çok sayıda sivil toplum örgütü yer alıyor.
Dava, bugün Star Blizzard’a atfedilen 41 ek alana el koyan ABD Adalet Bakanlığı (DOJ) ile koordineli olarak STK Bilgi Paylaşımı ve Analiz Merkezi (NGOISAC) ile birlikte açılıyor. Toplamda bu, 100’den fazla kötü amaçlı web sitesinin kaldırılacağı ve Star Blizzard’ın faaliyetindeki kesintinin kapsamının genişletileceği anlamına geliyor.
Microsoft DCU genel danışman yardımcısı Steven Masada, “Star Blizzard’ın her zaman yeni altyapı kurmasını beklesek de, bugünkü eylem, ABD’nin demokratik süreçlerine dış müdahalenin son derece endişe verici olduğu kritik bir zamanda operasyonlarını etkiliyor” dedi.
“Aynı zamanda mevcut bir mahkeme süreci aracılığıyla tespit ettiğimiz her türlü yeni altyapıyı hızlı bir şekilde bozmamıza da olanak tanıyacak. Ayrıca, bu hukuk davası ve keşif aracılığıyla Microsoft’un DCU’su ve Microsoft Tehdit İstihbaratı, bu aktör ve faaliyetlerinin kapsamı hakkında ek değerli bilgiler toplayacak ve bunları ürünlerimizin güvenliğini artırmak için kullanabilir, yardımcı olmak amacıyla sektörler arası ortaklarla paylaşabiliriz. Kendi soruşturmalarında mağdurları tespit edip iyileştirme çabalarında onlara yardımcı oluyoruz” dedi.
Microsoft tarafından “amansız” olarak tanımlanan Star Blizzard’ın operasyonları 2017’ye kadar uzanıyor, ancak son iki yılda grup sadece ABD’deki değil, NATO bloğundaki hedeflere karşı konuşlandırılan yeteneklerini büyük ölçüde genişletti.
Geçtiğimiz yıl Birleşik Krallık, Star Blizzard’ı resmi olarak Rusya’nın FSB ajansına bağladı ve Andrey Stanislavovich Korinets ve Ruslan Aleksandrovich Peretyatko adlı iki kişiye, 2019 genel saldırısından önce hack ve sızıntı saldırılarını da içeren, Birleşik Krallık’taki hedeflere yönelik operasyonla bağlantılı olan iki kişiye yaptırım uyguladı. seçim.
En ünlüsü, Computer Weekly’nin araştırma haberlerinin ortaya çıkardığı gibi, grup aynı zamanda eski bir MI6 başkanına saldırdı ve sözde eski başbakan Boris Johnson’ın Ukrayna’ya verdiği desteğin intikamı olarak, katı Brexit destekçilerinden oluşan bir ağdan binlerce e-postayı çalıp yayınladı.
Masada, Star Blizzard’a bugünden önce uygulanan aksiliklere ve yaptırımlara rağmen operasyonun oldukça ısrarcı olduğunu söyledi. Operatörleri hedeflerini titizlikle inceliyor ve güvenlerini kazanmak ve hedeflerine ulaşmak için güvenilir bağlantıların kimliklerini taklit ediyor.
Artık Ocak 2023’ten bu yana 82 müşterisinin, yani her hafta yaklaşık bir saldırının hedef alındığına inanıyor.
“Bu sıklık, grubun yüksek değerli hedefleri belirleme, kişiselleştirilmiş kimlik avı e-postaları oluşturma ve kimlik bilgisi hırsızlığı için gerekli altyapıyı geliştirme konusundaki titizliğini vurguluyor. Kurbanları, genellikle kötü niyetin farkında olmadan, bilmeden bu mesajlarla etkileşime girerek kimlik bilgilerinin tehlikeye girmesine yol açar. Bu saldırılar kaynakları zorluyor, operasyonları engelliyor ve mağdurlarda korku uyandırıyor; bunların hepsi demokratik katılımı engelliyor” dedi Masada.
Bu noktaya ulaşmadaki ek bir zorluk da Star Blizzard’ın faaliyetlerini ve kimliğini uyarlama ve gizleme yeteneği olmuştur. Açığa çıktığında altyapısını hızlı bir şekilde yeni alan adlarına aktarıyor ve Toronto Üniversitesi Munk Okulu’ndaki The Citizen Lab ve dijital haklar kuruluşu Access Now tarafından çalışmaları hakkında Ağustos 2024’te yayınlanan bir raporun ardından bunu tekrar yaptığı gözlemlendi.
Paylaşılan görev
Masada şöyle devam etti: “Bugünkü eylem, birlikte çalıştığımızda siber suçlara karşı yaratabileceğimiz etkinin bir örneğidir. DOJ’u bu ve diğer önemli konulardaki işbirliklerinden dolayı takdir ediyoruz ve küresel olarak hükümetleri, Microsoft gibi sektör ortaklarını, siber uzayda faaliyet gösteren giderek daha karmaşık hale gelen tehditlerle mücadele etme ortak misyonuna dahil etmeye ve benimsemeye teşvik ediyoruz.
“Microsoft’un DCU’su, siber suç altyapısını proaktif olarak bozma çabalarımıza devam edecek ve zarar vermek isteyenlere karşı mücadele etmek için özel sektördeki diğer kişilerle, sivil toplumla, devlet kurumlarıyla ve kolluk kuvvetleriyle işbirliği yapacak.”
En iyi uygulama olarak Microsoft, tüm sivil toplum gruplarına güvenlik korumalarını güçlendirmelerini, kişisel ve profesyonel e-posta hesaplarına çok faktörlü kimlik doğrulama (MFA) eklemelerini ve ek, özel korumalar sunan Microsoft AccountGuard programına kaydolmalarını tavsiye ediyor.
Ancak Redmond, bu çabaların, özellikle demokratik süreçleri hedef alan ulus devlet destekli siber saldırıları sınırlamak için uluslararası normların uygulanmasıyla desteklenmesi gerektiğini söyledi.
Star Blizzard’ın ve buna bağlı olarak Rusya’nın BM’nin Çevrimiçi Sorumlu Devlet Davranışı Çerçevesini açıkça ihlal ettiğine dikkat çekildi.