A Microsoft e o Departamento de Justiça dos EUA (DoJ) anunciaram na quinta-feira a apreensão de 107 domínios da Internet usados por agentes de ameaças patrocinados pelo Estado com ligações com a Rússia para facilitar fraudes e abusos informáticos no país.
“O governo russo está conduzindo este esquema para roubar informações confidenciais dos americanos, usando contas de e-mail aparentemente legítimas para enganar as vítimas e fazê-las revelar informações de contas”, disse a vice-procuradora-geral Lisa Monaco.
Diz-se que esta operação é realizada por um ator de ameaça chamado COLDRIVER, também conhecido como Blue Callisto, BlueCharlie (ou TAG-53), Calisto (também escrito Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM ), TA446 e UNC4057.
Em operação desde pelo menos 2012, acredita-se que o grupo seja uma unidade operacional do Centro 18 do Serviço Federal de Segurança Russo (FSB).
Em Dezembro de 2023, os governos do Reino Unido e dos EUA puniram dois membros do grupo – Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets – pelas suas brutais operações de colheita e liderança de campanhas. Mais tarde, em junho de 2024, o Conselho Europeu impôs sanções às mesmas duas pessoas.
O DoJ disse que os 41 domínios recentemente apreendidos foram usados por agentes de ameaças “para cometer uma violação de acesso não autorizado a um computador para obter informações de um departamento ou agência dos Estados Unidos, acesso não autorizado a um computador para obter informações de um computador seguro e causar danos a um computador seguro.”
Suspeita-se que os domínios tenham sido usados como parte de uma campanha de phishing visando contas de e-mail do governo dos EUA e outras vítimas, a fim de coletar informações e dados confidenciais.
Junto com este anúncio, a Microsoft disse que apresentou um pedido público correspondente para apreender 66 domínios adicionais da Internet usados pelo COLDRIVER para isolar mais de 30 organizações e organizações públicas entre janeiro de 2023 e agosto de 2024.
Isto incluiu ONG e grupos de reflexão que apoiam funcionários públicos e oficiais militares e de inteligência, especialmente aqueles que apoiam a Ucrânia e os países da NATO, como o Reino Unido e os EUA. O COLDRIVER visando ONG foi anteriormente documentado pelo Access Now e pelo Citizen Lab em Agosto de 2024.
“As operações da Star Blizzard são intransigentes, explorando a confiança, a privacidade e a familiaridade das interações digitais cotidianas”, disse Steven Masada, conselheiro geral assistente da Unidade de Crimes Digitais (DCU) da Microsoft. “Eles têm sido particularmente agressivos ao atacar ex-funcionários de inteligência, especialistas em assuntos russos e cidadãos russos que vivem nos EUA”.
A gigante tecnológica afirmou ter identificado 82 clientes alvo do inimigo desde Janeiro de 2023, o que mostra a resiliência por parte do grupo para desenvolver novas estratégias e atingir os seus objectivos estratégicos.
“Este componente ressalta a diligência da equipe na identificação de alvos de alto valor, na personalização de e-mails de phishing e no desenvolvimento da infraestrutura necessária para roubo de identidade”, disse Masada. “Suas vítimas, muitas vezes inconscientes da intenção maliciosa, comunicam-se inconscientemente com essas mensagens que levam à perda de suas informações”.
