مایکروسافت و وزارت دادگستری ایالات متحده (DoJ)، سوم اکتبر ۲۰۲۴ از توقیف 107 دامنه اینترنتی مورد استفاده توسط هکرهای روسی وابسته به دولت برای تسهیل کلاهبرداری و سوء استفاده رایانهای در این کشور (ایالات متحده) خبر دادند.
به گفته لیزا موناکو، معاون دادستان کل، دولت روسیه این طرح را به منظور سرقت اطلاعات حساس آمریکاییها اجرا کرده است و از حسابهای ایمیل به ظاهر قانونی استفاده میکند تا قربانیان را فریب دهد که دادههای احراز هویت خود را فاش کنند.
این فعالیت به تهدید کنندهای به نام COLDRIVER نسبت داده شده است که با نامهای Blue Callisto، BlueCharlie (یا TAG-53)، Calisto (یا Callisto)، Dancing Salome، Gossamer Bear، Iron Frontier، Star Blizzard ( SEABORGIUM سابق)، TA446 و UNC4057 نیز شناخته میشود.
این گروه حداقل از سال 2012 فعال میباشد و ارزیابی شده است که یک واحد عملیاتی در مرکز 18 سرویس امنیت فدرال روسیه (FSB) میباشد. این گروه از اطلاعات منبع باز ([1]OSINT یا جستجوی پیشرفته در منابع اطلاعاتی آزاد) و مهارتهای مهندسی اجتماعی برای جستجو و جذب اهداف خود استفاده میکند.
دولتهای بریتانیا و ایالات متحده در دسامبر 2023، دو عضو این گروه (الکساندرویچ پرتیاتکو و آندری استانیسلاوویچ کورینتس) را به دلیل فعالیتهای مخرب جمعآوری دادههای احراز هویت و لاگین و حملات فیشینگ هدفمند تحریم کردند. شورای اروپا متعاقباً در ژوئن 2024، تحریمهایی را علیه همین دو فرد اعمال کرد.
وزارت دادگستری اعلام نمود که 41 دامنه تازه توقیف شده، توسط COLDRIVER به منظور ” ایجاد دسترسی غیرمجاز به رایانه برای به دست آوردن اطلاعات از یک بخش یا آژانس ایالات متحده، جمع آوری اطلاعات از یک رایانه محافظت شده و آسیب رساندن به آن” استفاده شدهاند.
ادعا میشود که این دامنهها به عنوان بخشی از یک حمله فیشینگ هدفمند استفاده شدهاند که حسابهای ایمیل دولتی ایالات متحده و سایر قربانیان را با هدف جمع آوری دادههای احراز هویت و ارزشمند مورد هدف قرار داده است.
به موازات این اعلامیه، مایکروسافت نیز اعلام کرد که یک دادخواست مدنی مربوطه را برای توقیف 66 دامنه اینترنتی دیگر که توسط همین تهدید کننده یعنی COLDRIVER مورد استفاده قرار گرفته بود، برای شناسایی بیش از 30 نهاد و سازمان جامعه مدنی بین ژانویه 2023 تا آگوست 2024 ارائه کرده است.
این سازمانها شامل سازمانهای غیردولتی و اتاقهای فکری میشوند که از کارمندان دولتی و مقامات نظامی و اطلاعاتی پشتیبانی میکنند، به ویژه آنهایی که از اوکراین و کشورهای ناتو مانند بریتانیا و ایالات متحده آمریکا حمایت میکنند.
استیون ماسادا، دستیار مشاور عمومی واحد جرایم دیجیتال مایکروسافت (DCU)، اذعان داشت که عملیات Star Blizzard وقفه ناپذیر است و از اعتماد، حریم خصوصی و آشنایی تعاملات دیجیتالی روزمره سوء استفاده میکند. آنها از هدف قرار دادن مقامات اطلاعاتی سابق، کارشناسان امور روسیه و شهروندان روسی مقیم ایالات متحده نیز غافل نبودهاند!
مایکروسافت مدعی است که 82 مشتری را که از ژانویه 2023 مورد هدف COLDRIVER قرار گرفتهاند، شناسایی کرده است و این نشان میدهد که گروه برای تکامل با تاکتیکهای جدید و دستیابی به اهداف استراتژیک خود، بسیار سرسخت است.
قربانیان اغلب از سوء نیت این ایمیلها بیخبر هستند و ناآگاهانه با این پیامها درگیر میشوند که منجر به ربوده شدن دادههای احراز هویت آنها میشود.
وزارت امور خارجه آمریکا 10 میلیون دلار جایزه برای اطلاعاتی که به یافتن یا شناسایی سایر اعضای ColdRiver کمک کند، تعیین کرده است.
[1] open-source intelligence
