Microsoft ve Adalet Bakanlığı, hedef odaklı kimlik avı saldırılarında ABD hükümet çalışanlarını ve Rusya’daki ve dünya çapındaki kar amacı gütmeyen kuruluşları hedeflemek için Rus ColdRiver bilgisayar korsanlığı grubu tarafından kullanılan 100’den fazla alan adını ele geçirdi.
Aralık ayında, Birleşik Krallık ve Beş Göz müttefikleri bu tehdit grubunu ülkenin iç güvenlik ve karşı istihbarat servisi olan Rusya Federal Güvenlik Servisi’ne (FSB) bağladı.
Kısmen mühürlenmemiş bir beyana göre, ABD merkezli şirketler ve ABD İstihbarat Topluluğu, Savunma Bakanlığı ve Dışişleri Bakanlığı’nın eski ve mevcut çalışanlarının yanı sıra Dışişleri Bakanlığı personeli de dahil olmak üzere çok çeşitli hedeflere saldırdılar. Enerji ve ABD askeri savunma müteahhitleri.
“Ocak 2023 ile Ağustos 2024 arasında Microsoft, Star Blizzard’ın hassas bilgileri sızdırmak için hedef odaklı kimlik avı kampanyaları uygulayarak demokrasinin gelişmesini sağlamanın temelini oluşturan gazeteciler, düşünce kuruluşları ve sivil toplum kuruluşları (STK’lar) olmak üzere 30’dan fazla sivil toplum kuruluşunu hedef aldığını gözlemledi. faaliyetlerine müdahale ediyoruz” dedi Microsoft’un Dijital Suçlar Birimi Genel Danışman Yardımcısı Steven Masada.
Microsoft ve DOJ birlikte, 66’sı Microsoft ve 41’i DOJ tarafından olmak üzere 107 alanı ele geçirerek ColdRiver korsanlarının devam eden saldırılarda kullandığı saldırı altyapısını ortadan kaldırdı.
Başsavcı Yardımcısı Lisa Monaco, “Rus hükümeti, mağdurları hesap bilgilerini açıklamaları için kandırmak amacıyla görünürde meşru e-posta hesaplarını kullanarak Amerikalıların hassas bilgilerini çalmak için bu planı yürüttü” dedi.
ABD Başsavcısı İsmail J. Ramsey, “Bu ele geçirme, siber casusluk aktörlerinin ABD’ye ve uluslararası hedeflere saldırmak için kullandığı altyapıyı ortadan kaldırmak amacıyla özel sektör ortaklarımızla verdiğimiz koordineli yanıtın bir parçasıdır” diye ekledi.
En az 2017’den beri aktif
Callisto Group, Seaborgium ve Star Blizzard adlarıyla da takip edilen ColdRiver tehdit grubu, en az 2017’den bu yana hedefleri araştırmak ve cezbetmek için açık kaynak istihbaratını (OSINT) ve sosyal mühendislik becerilerini kullanıyor.
Five Eyes siber ajansları Aralık 2023’te ColdRiver’ın akademi, savunma, hükümet kuruluşları, STK’lar, düşünce kuruluşları ve politikacılara yönelik hedef odaklı kimlik avı saldırıları konusunda uyarıda bulundu. 2022 yılında Rusya’nın Ukrayna’yı işgal etmesinden sonra bu saldırılar savunma sanayii hedeflerine ve ABD Enerji Bakanlığı tesislerine kadar genişledi.
Microsoft daha önce birçok Avrupa NATO ülkesine yönelik ColdRiver saldırılarını, e-postaları toplamak ve kurbanlarının faaliyetlerini izlemek için kullandıkları Microsoft hesaplarını devre dışı bırakarak engellemişti.
Aralık ayında, ABD Dışişleri Bakanlığı iki ColdRiver operatörüne (biri FSB memuru) yaptırım uyguladı. DOJ da suç duyurusunda bulundu Rus hükümeti tarafından koordine edilen küresel bir hackleme kampanyasına katıldıkları için.
Dışişleri Bakanlığı artık diğer ColdRiver üyelerinin yerini tespit etmeye veya tanımlamaya yardımcı olabilecek bilgiler için 10 milyon dolara kadar ödül sunuyor.