Microsoft y el Departamento de Justicia confiscaron más de 100 dominios utilizados por el grupo de hackers ruso ColdRiver para atacar a empleados del gobierno estadounidense y organizaciones sin fines de lucro de Rusia y de todo el mundo en ataques de phishing.
En diciembre, el Reino Unido y sus aliados Five Eyes vincularon al grupo de amenazas con el Servicio Federal de Seguridad (FSB) de Rusia, el servicio interno de seguridad y contrainteligencia del país.
Según un declaración jurada parcialmente abiertaAtacaron una amplia gama de objetivos, incluidas empresas con sede en Estados Unidos y empleados actuales y anteriores de la Comunidad de Inteligencia de Estados Unidos, el Departamento de Defensa y el Departamento de Estado, así como personal del departamento de Energía y contratistas de defensa militar estadounidenses. .
“Entre enero de 2023 y agosto de 2024, Microsoft observó que Star Blizzard apuntó a más de 30 organizaciones de la sociedad civil (periodistas, grupos de expertos y organizaciones no gubernamentales (ONG) esenciales para el desarrollo de la democracia) mediante el despliegue de campañas de phishing para exfiltrar información confidencial. e interferir en sus actividades”, dicho Steven Masada, asesor general adjunto de la unidad de delitos digitales de Microsoft.
Juntos, Microsoft y el Departamento de Justicia confiscaron 107 dominios:66 por Microsoft y 41 por el Departamento de Justicia: desmantelar la infraestructura de ataque utilizada por los piratas informáticos de ColdRiver en los ataques en curso.
“El gobierno ruso creó este plan para robar información confidencial de los estadounidenses, utilizando cuentas de correo electrónico aparentemente legítimas para engañar a las víctimas para que revelen las credenciales de sus cuentas”. dijo la Fiscal General Adjunta Lisa Mónaco.
“Esta incautación es parte de una respuesta coordinada con nuestros socios del sector privado para desmantelar la infraestructura que los actores de ciberespionaje utilizan para atacar objetivos estadounidenses e internacionales”, añadió el fiscal federal Ismail J. Ramsey.
Activo desde al menos 2017
También rastreado bajo los nombres Callisto Group, Seaborgio y Star Blizzard, el grupo de amenazas ColdRiver ha utilizado inteligencia de código abierto (OSINT) y habilidades de ingeniería social para buscar y atraer objetivos desde al menos 2017.
Agencias cibernéticas Five Eyes prevenido En diciembre de 2023, ColdRiver lanzó ataques de phishing contra el mundo académico, la defensa, organizaciones gubernamentales, ONG, grupos de expertos y políticos. En 2022, tras la invasión rusa de Ucrania, estos ataques se ampliaron para incluir objetivos industriales de defensa e instalaciones del Departamento de Energía de Estados Unidos.
Microsoft ya ha frustrado los ataques de ColdRiver contra varios países europeos de la OTAN al desactivar las cuentas de Microsoft que utilizaban para recopilar correos electrónicos y monitorear la actividad de sus víctimas.
En diciembre, el Departamento de Estado de EE.UU. sancionado dos operadores de ColdRiver (incluido un oficial del FSB) que el Departamento de Justicia también acusado por su participación en una campaña global de piratería informática coordinada por el gobierno ruso.
El Departamento de Estado ahora ofrece hasta $10 millones en recompensas para obtener información que pueda ayudar a localizar o identificar a otros miembros de ColdRiver.