A Microsoft e o Departamento de Justiça dos EUA (DoJ) anunciaram na quinta-feira a apreensão de 107 domínios da Web usados por agentes de ameaças patrocinados pelo Estado com ligações com a Rússia para facilitar fraudes e abusos informáticos no país.
“O governo russo executou este esquema para roubar informações confidenciais dos americanos, usando contas de e-mail aparentemente legítimas para enganar as vítimas e fazê-las revelar as credenciais das contas”, disse a vice-procuradora-geral Lisa Monaco.
A atividade foi atribuída a um ator de ameaça chamado COLDRIVER, que também é conhecido pelos nomes Blue Callisto, BlueCharlie (ou TAG-53), Calisto (escrito alternadamente Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057.
Ativo desde pelo menos 2012, o grupo é avaliado como uma unidade operacional do Centro 18 do Serviço Federal de Segurança Russo (FSB).
Em dezembro de 2023, os governos do Reino Unido e dos EUA sancionaram dois membros do grupo – Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets – pelas suas atividades maliciosas de recolha de credenciais e campanhas de spear-phishing. Posteriormente, em junho de 2024, o Conselho Europeu impôs sanções contra os mesmos dois indivíduos.
O DoJ disse que os 41 domínios recentemente apreendidos foram usados pelos agentes da ameaça para “cometer violações de acesso não autorizado a um computador para obter informações de um departamento ou agência dos Estados Unidos, acesso não autorizado a um computador para obter informações de um computador protegido, e causando danos a um computador protegido.”
Os domínios teriam sido usados como parte de uma campanha de spear-phishing direcionada às contas de e-mail do governo dos EUA e de outras vítimas, com o objetivo de coletar credenciais e dados valiosos.
Paralelamente ao anúncio, a Microsoft disse que entrou com uma ação civil correspondente para apreender 66 domínios adicionais da Web usados pelo COLDRIVER para identificar mais de 30 entidades e organizações da sociedade civil entre janeiro de 2023 e agosto de 2024.
Isto incluiu ONGs e grupos de reflexão que apoiam funcionários governamentais e oficiais militares e de inteligência, especialmente aqueles que prestam apoio à Ucrânia e em países da OTAN, como o Reino Unido e os EUA. O ataque a ONGs do COLDRIVER foi anteriormente documentado pelo Entry Now e pelo Citizen Lab em agosto de 2024 .
“As operações da Star Blizzard são implacáveis, explorando a confiança, a privacidade e a familiaridade das interações digitais cotidianas”, disse Steven Masada, conselheiro geral assistente da Unidade de Crimes Digitais (DCU) da Microsoft. “Eles têm sido particularmente agressivos ao atacar ex-funcionários de inteligência, especialistas em assuntos russos e cidadãos russos residentes nos EUA”
A gigante tecnológica disse ter identificado 82 clientes que foram alvo do adversário desde janeiro de 2023, demonstrando uma tenacidade por parte do grupo para evoluir com novas táticas e atingir os seus objetivos estratégicos.
“Essa frequência ressalta a diligência do grupo na identificação de alvos de alto valor, na elaboração de e-mails de phishing personalizados e no desenvolvimento da infraestrutura necessária para roubo de credenciais”, disse Masada. “Suas vítimas, muitas vezes inconscientes da intenção maliciosa, envolvem-se inconscientemente com essas mensagens, levando ao comprometimento de suas credenciais”.