A Microsoft e o Departamento de Justiça dos EUA (DoJ) anunciaram na quinta-feira a apreensão de 107 domínios de internet utilizados por atores de ameaça patrocinados pelo estado com laços com a Rússia para facilitar fraudes de computador e abusos no país.
"O governo russo executou esse esquema para roubar informações sensíveis dos americanos, usando contas de e-mail aparentemente legítimas para enganar as vítimas e fazer com que revelassem credenciais de suas contas", disse a vice-procuradora-geral Lisa Monaco.
A atividade foi atribuída a um ator de ameaça chamado COLDRIVER, que também é conhecido pelos nomes Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativamente grafado como Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057.
Ativo desde pelo menos 2012, o grupo é considerado uma unidade operacional dentro do Centro 18 do Serviço Federal de Segurança (FSB) da Rússia.
Em dezembro de 2023, os governos do Reino Unido e dos EUA sancionaram dois membros do grupo – Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets – por suas atividades maliciosas de captura de credenciais e campanhas de spear-phishing.
Posteriormente, em junho de 2024, o Conselho Europeu impôs sanções contra esses dois indivíduos.
O DoJ disse que os 41 domínios recém-apreendidos foram usados pelos atores de ameaça para "cometer violações de acesso não autorizado a um computador para obter informações de um departamento ou agência dos Estados Unidos, acesso não autorizado a um computador para obter informações de um computador protegido e causar danos a um computador protegido."
Os domínios são acusados de terem sido utilizados como parte de uma campanha de spear-phishing visando as contas de e-mail do governo dos EUA e de outras vítimas com o objetivo de coletar credenciais e informações valiosas.
Paralelamente ao anúncio, a Microsoft disse que entrou com uma ação civil correspondente para apreender 66 domínios adicionais da internet usados pelo COLDRIVER para visar mais de 30 entidades e organizações da sociedade civil entre janeiro de 2023 e agosto de 2024.
Isso incluiu ONGs e think tanks que apoiam funcionários do governo e oficiais militares e de inteligência, particularmente aqueles que fornecem apoio à Ucrânia e em países da OTAN, como Reino Unido e EUA.
O direcionamento de ONGs pelo COLDRIVER foi previamente documentado por Access Now e Citizen Lab em agosto de 2024.
"As operações do Star Blizzard são implacáveis, explorando a confiança, privacidade e familiaridade das interações digitais cotidianas", disse Steven Masada, conselheiro geral assistente na Unidade de Crimes Digitais (DCU) da Microsoft.
Eles têm sido particularmente agressivos ao visar ex-funcionários de inteligência, especialistas em assuntos russos e cidadãos russos residindo nos EUA.
A gigante da tecnologia disse ter identificado 82 clientes que foram alvo do adversário desde janeiro de 2023, demonstrando a tenacidade do grupo em evoluir com novas táticas e alcançar seus objetivos estratégicos.
"Essa frequência sublinha a diligência do grupo em identificar alvos de alto valor, elaborar e-mails de phishing personalizados e desenvolver a infraestrutura necessária para o roubo de credenciais", disse Masada.
Suas vítimas, muitas vezes sem consciência da intenção maliciosa, envolvem-se inadvertidamente com essas mensagens, levando ao comprometimento de suas credenciais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...