Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) anunciaron el jueves la incautación de 107 dominios de Internet utilizados por actores de amenazas patrocinados por estados con vínculos con Rusia para facilitar el fraude y el abuso informático en el país.

“El gobierno ruso implementó este plan para robar información confidencial de ciudadanos estadounidenses, utilizando cuentas de correo electrónico que parecían legítimas para engañar a las víctimas y hacer que revelaran las credenciales de sus cuentas”, afirmó la fiscal general adjunta, Lisa Monaco.

La actividad ha sido atribuida a un actor de amenazas conocido como COLDRIVER, también llamado Blue Callisto, BlueCharlie (o TAG-53), Callisto (también escrito Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057.

Activo desde al menos 2012, este grupo es considerado como una unidad operativa dentro del Centro 18 del Servicio Federal de Seguridad de Rusia (FSB).

En diciembre de 2023, los gobiernos de Reino Unido y Estados Unidos sancionaron a dos miembros del grupo, Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, por sus actividades maliciosas de recolección de credenciales y campañas de phishing. Posteriormente, en junio de 2024, el Consejo Europeo también sancionó a estas dos personas.

El Departamento de Justicia señaló que los 41 dominios recientemente confiscados fueron utilizados por estos actores de amenazas para “cometer violaciones de acceso no autorizado a computadoras con el fin de obtener información de un departamento o agencia de los Estados Unidos, acceder de manera no autorizada a una computadora para obtener datos de una máquina protegida y causar daños a una computadora protegida”.

Se cree que estos dominios formaban parte de una campaña de phishing dirigida a cuentas de correo electrónico del gobierno de EE.UU. y otras víctimas, con el propósito de recopilar credenciales y datos valiosos.

Junto con este anuncio, Microsoft informó que presentó una acción civil para confiscar otros 66 dominios de Internet adicionales utilizados por COLDRIVER para atacar a más de 30 entidades y organizaciones de la sociedad civil entre enero de 2023 y agosto de 2024.

Estas incluían ONG y grupos de expertos que brindan apoyo a empleados gubernamentales y funcionarios militares e inteligencia, particularmente aquellos que apoyan a Ucrania y a países de la OTAN como Reino Unido y EE.UU. Los ataques de COLDRIVER contra estas ONG fueron documentados previamente por Access Now y Citizen Lab en agosto de 2024.

“Las operaciones de Star Blizzard son incansables y explotan la confianza, la privacidad y la familiaridad de las interacciones digitales cotidianas”, declaró Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales (DCU) de Microsoft. “Han sido especialmente agresivos al atacar a exfuncionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos que viven en EE.UU.”.

El gigante tecnológico también identificó a 82 clientes que han sido blanco de ataques por parte de este adversario desde enero de 2023, lo que refleja la persistencia del grupo para adaptar sus tácticas y cumplir con sus objetivos estratégicos.

“Esta frecuencia resalta la diligencia del grupo para identificar objetivos de alto valor, crear correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales”, dijo Masada. “Las víctimas, muchas veces sin ser conscientes de las intenciones maliciosas, interactúan con estos mensajes, lo que provoca la exposición de sus credenciales”.

fuente: thehackernews.com