Суд у Сполучених Штатах заарештував 107 доменних імен, які використовувала хакерська група ColdRiver (також відома як Star Blizzard) для кібератак по всьому світу, у тому числі у США. Позов був поданий компанією Microsoft та міністерством юстиції США.
Група ColdRiver, як з’ясували розслідувачі, організувала фішингову атаку на представників російських, білоруських та західних некомерційних організацій, політиків, правозахисників, незалежних журналістів та благодійних фондів. Хакерська група, за даними видання «Перший відділ», пов’язана з Центром інформаційної безпеки ФСБ.
«Російський уряд запустив цю схему для крадіжки конфіденційної інформації американців, використовуючи, здавалося б, законні облікові записи електронної пошти, щоб обманом змусити жертв розкрити облікові дані. За постійної підтримки наших партнерів із приватного сектору ми невпинно викриватимемо російських суб’єктів і кіберзлочинців», – заявила заступниця генпрокурора США Ліза Монако.
У Microsoft очікують, що ColdRiver (Star Blizzard) створюватиме нову інфраструктуру. Ухвалене судом рішення, як зазначається, дозволить компанії швидко припинити діяльність будь-якої нової інфраструктури та зібрати додаткові відомості про цього суб’єкта та масштаби його діяльності, які будуть використані для підвищення безпеки продуктів та обміну інформацією з міжгалузевими партнерами.
ДИВІТЬСЯ ТАКОЖ: Хакери РФ здійснили атаку на низку українських медіа – Держспецзв’язкуПро діяльність ColdRiver у серпні в спільному розслідуванні розповіли лабораторія Citizen Lab при Університеті Торонто, організація захисту цифрових прав Access Now, проєкт «Перший відділ» та дослідники безпеки Arjuna Team і Resident.ngo.
ColdRiver та ще одна хакерська група COLDWASTREL, за даними розслідувачів, створювали підроблені електронні адреси ProtonMail, з яких надсилалися листи від імені знайомих людей чи організацій. У листах були PDF-файли, які нібито були зашифровані, а користувачеві, щоб відкрити їх, потрібно було зайти в свій акаунт на Proton Drive або Google Drive. Якщо одержувач листа переходив за посиланням та вводив свій пароль та код від двофакторної аутентифікації, то зловмисники отримували доступ до даних. Зі зламаної пошти хакери могли надсилати фішингові листи новим цілям своїх атак.