Корпорація Microsoft та Міністерство юстиції США вилучили понад 100 доменів, які використовувалися пов’язаною з Росією компанією Callisto Group для здійснення атак на американські державні та некомерційні організації.
Міністерство юстиції США повідомило про розпечатування ордеру на арешт 41 домену, який використовувався пов’язаною з Росією компанією Callisto Group (колишня назва SEABORGIUM, також відома як COLDRIVER) для комп’ютерного шахрайства у Сполучених Штатах.
Мін’юст США координував свою операцію з Microsoft, цей ІТ-гігант подав цивільний позов, щоб накласти арешт на 66 додаткових доменів.
«Підрозділ Microsoft по боротьбі з цифровими злочинами (DCU) руйнує технічну інфраструктуру, що використовується постійним російським державним актором, якого Microsoft Threat Intelligence відстежує як Star Blizzard. Сьогодні Окружний суд округу Колумбія розпечатав цивільний позов, поданий DCU Microsoft, включаючи постанову, що дозволяє Microsoft вилучити 66 унікальних доменів, які використовуються Star Blizzard у кібератаках на клієнтів Microsoft по всьому світу, в тому числі в США», – йдеться в повідомленні, опублікованому Microsoft. «У період з січня 2023 року по серпень 2024 року корпорація Майкрософт спостерігала, як Star Blizzard атакувала понад 30 організацій громадянського суспільства – журналістів, аналітичні центри та неурядові організації (НУО), які відіграють ключову роль у забезпеченні процвітання демократії – шляхом розгортання фішингових кампаній з метою викрадення конфіденційної інформації та втручання в їхню діяльність. »
Частково розсекречені свідчення під присягою показують, що група APT націлилася на широке коло американських організацій, включаючи компанії та нинішніх або колишніх співробітників Розвідувального співтовариства США, Міністерства оборони, Державного департаменту, Міністерства енергетики та військово-оборонних підрядників.
«Сьогоднішнє вилучення 41 інтернет-домену відображає кібер-стратегію Міністерства юстиції в дії – використання всіх інструментів для підриву і стримування зловмисних, підтримуваних державою кібер-суб’єктів», – заявила заступник генерального прокурора Ліза Монако. «Російський уряд використовував цю схему для крадіжки конфіденційної інформації американців, використовуючи, здавалося б, легальні електронні поштові скриньки, щоб обманом змусити жертв розкрити облікові дані облікового запису. За постійної підтримки наших партнерів з приватного сектору ми будемо невпинно викривати російських акторів і кіберзлочинців та позбавляти їх інструментів їхньої незаконної торгівлі».
У грудні 2023 року Національний центр кібербезпеки Великої Британії (NCSC) та корпорація Microsoft повідомили, що пов’язана з Росією група кіберзлочинців Callisto Group атакує організації по всьому світу. Ця національна держава здійснює фішингові атаки з метою кібершпигунства.
Група Callisto APT (також відома як «Seaborgium», «Star Blizzard», «ColdRiver», «TA446») атакувала урядовців, військовослужбовців, журналістів та аналітичні центри щонайменше з 2015 року.
У минулому діяльність групи включала постійні фішингові кампанії та кампанії з викрадення облікових даних, що призводили до вторгнень і крадіжок даних. APT в першу чергу націлена на країни НАТО, але експерти також спостерігали кампанії, спрямовані на регіони Балтії, Північної та Східної Європи, включаючи Україну.
У грудні 2023 року команда безпеки Reddit пояснила витік торговельних документів між США і Великобританією через свою платформу скоординованою інформаційною кампанією, пов’язаною з Росією.
«Нещодавно нам стало відомо про публікацію на Reddit, яка містила витік документів з Великої Британії, – йдеться у заяві. «Ми дослідили цей акаунт і пов’язані з ним акаунти, і сьогодні ми вважаємо, що це було частиною кампанії, яка, як повідомлялося, походить з Росії».
«Раніше цього року Facebook виявив російську кампанію на своїй платформі, яка була додатково проаналізована Атлантичною радою і отримала назву «Вторинна інфекція», – йдеться в заяві Reddit. «Нещодавно нам повідомили про підозрілі акаунти на Reddit разом з показниками від правоохоронних органів, і ми змогли підтвердити, що вони дійсно демонструють схему координації».
Згідно з прес-релізом, опублікованим урядом Великобританії, Великобританія та її союзники спостерігали низку спроб російських спецслужб націлитися на високопоставлених осіб та організації за допомогою кібероперацій. Суб’єкт національної держави мав на меті отримати інформацію для втручання в політику та демократичні процеси Великої Британії.
Уряд Великої Британії пов’язує цю діяльність з «Центром 18», підрозділом російської розвідки ФСБ, який відстежується під назвою «Зоряна хуртовина».
«Хоча деякі атаки призвели до витоку документів, спроби втручання в політику і демократію Великої Британії не були успішними», – йдеться в прес-релізі. «Група також вибірково зливала і посилювала витік інформації відповідно до цілей російської конфронтації, в тому числі з метою підриву довіри до політики у Великобританії і державах-однодумцях».
Великобританія вважає, що ФСБ координувала щонайменше такі дії:
- Кібератаки на парламентаріїв з різних політичних партій, починаючи щонайменше з 2015 року.
- Витік торговельних документів між Великою Британією та США напередодні загальних виборів 2019 року. Витік раніше приписувався російській державі через письмову міністерську заяву у 2020 році.
- Злам у 2018 році Інституту державного управління, британського аналітичного центру, що займається ініціативами із захисту демократії від дезінформації. З грудня 2021 року спонсоровані державою хакери отримали доступ до акаунту його засновника Крістофера Доннеллі.
- Атаки на університети, журналістів, державний сектор, неурядові організації та інші організації громадянського суспільства, багато з яких відіграють вирішальну роль у британській демократії.
- Розслідування Національного агентства з боротьби зі злочинністю ідентифікувало двох членів Star Blizzard, а уряди Великої Британії та США ввели проти них санкції. Цими двома особами є:
- Руслан Олександрович ПЕРЕТЯТКО, офіцер російської розвідки ФСБ і член «Зоряної бурі», також відомої як «Група Каллісто
- Андрій Станіславович КОРИНЕЦЬ, він же Олексій ДОГУЖЄВ, який є членом Star Blizzard, він же Callisto Group
Повертаючись до сьогодення, Microsoft визнала, що виведення з ладу доменів не зможе повністю зупинити фішингову діяльність групи.
«Хоча ми очікуємо, що Star Blizzard завжди буде створювати нову інфраструктуру, сьогоднішні дії впливають на їхню діяльність у критичний момент, коли іноземне втручання в демократичні процеси в США викликає найбільше занепокоєння», – заявили в компанії.
«Разом ми вилучили понад 100 веб-сайтів. Відновлення інфраструктури вимагає часу, поглинає ресурси і коштує грошей. Співпрацюючи з Міністерством юстиції, ми змогли розширити масштаби підриву і захопити більше інфраструктури, що дозволило нам досягти більшого впливу на Star Blizzard», – підсумовує Microsoft. «Хоча ми очікуємо, що Star Blizzard завжди буде створювати нову інфраструктуру, сьогоднішні дії впливають на їхню діяльність у критичний момент, коли іноземне втручання в демократичні процеси в США викликає найбільше занепокоєння. Це також дозволить нам швидко зруйнувати будь-яку нову інфраструктуру, яку ми ідентифікуємо через існуючий судовий процес. Крім того, завдяки цьому цивільному позову та відкриттю, підрозділи Microsoft DCU та Microsoft Threat Intelligence зберуть додаткову цінну інформацію про цього суб’єкта та сферу його діяльності, яку ми зможемо використати для покращення безпеки наших продуктів, поділитися нею з міжгалузевими партнерами, щоб допомогти їм у проведенні власних розслідувань, а також виявити жертв та допомогти їм у відновленні порушених прав.»