A Microsoft e o Departamento de Justiça dos EUA (DoJ) apreenderam de 107 domínios de internet usados por agentes de ameaças patrocinados pelo Estado e com vínculos com a Rússia. Os domínios eram usados para facilitar fraudes e abusos de computador na Rússia.
Domínios de internet apreendidos pelos EUA e Microsoft
De acordo com a procuradora-geral adjunta do DoJ, Lisa Monaco, “o governo russo executou esse esquema para roubar informações confidenciais dos americanos, usando contas de e-mail aparentemente legítimas para enganar as vítimas e fazê-las revelar as credenciais da conta”. A atividade foi atribuída a um agente de ameaça chamado COLDRIVER, também conhecido pelos nomes Blue Callisto, BlueCharlie (ou TAG-53), Calisto (também escrito Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057.
Ativo desde pelo menos 2012, o grupo é avaliado como uma unidade operacional dentro do Centro 18 do Serviço Federal de Segurança Russo (FSB). Em dezembro de 2023, os governos do Reino Unido e dos EUA sancionaram dois membros do grupo – Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets – por suas atividades maliciosas de coleta de credenciais e campanhas de spear-phishing. Posteriormente, em junho de 2024, o Conselho Europeu impôs sanções contra os mesmos dois indivíduos.
O DoJ disse que os 41 domínios recentemente apreendidos foram usados pelos agentes da ameaça para “cometer violações de acesso não autorizado a um computador para obter informações de um departamento ou agência dos Estados Unidos, acesso não autorizado a um computador para obter informações de um computador protegido e causar danos a um computador protegido”. Os domínios teriam sido usados como parte de uma campanha de spear-phishing visando contas de e-mail do governo dos EUA e outras vítimas, com o objetivo de coletar credenciais e dados valiosos.
A Microsoft revelou que entrou com uma ação civil correspondente para apreender 66 domínios adicionais de internet usados pelo COLDRIVER para identificar mais de 30 entidades e organizações da sociedade civil entre janeiro de 2023 e agosto de 2024. Isso incluía ONGs e think tanks que apoiam funcionários do governo e autoridades militares e de inteligência, especialmente aqueles que fornecem suporte à Ucrânia e em países da OTAN, como o Reino Unido e os EUA. O ataque do COLDRIVER a ONGs foi documentado anteriormente pelo Access Now e pelo Citizen Lab em agosto de 2024.
A empresa afirma ter identificado 82 clientes que foram alvos do adversário desde janeiro de 2023, demonstrando tenacidade por parte do grupo em evoluir com novas táticas e atingir seus objetivos estratégicos.
Via: TheHacker News