Microsoft dan Departemen Kehakiman AS (DoJ) pada hari Kamis mengumumkan penyitaan 107 domain internet yang digunakan oleh aktor ancaman yang disponsori negara yang memiliki hubungan dengan Rusia untuk memfasilitasi penipuan dan penyalahgunaan komputer di negara tersebut.
"Pemerintah Rusia menjalankan skema ini untuk mencuri informasi sensitif warga Amerika, menggunakan akun email yang tampaknya sah untuk mengelabui korban agar mengungkapkan kredensial akun," kata Wakil Jaksa Agung Lisa Monaco.
Aktivitas tersebut dikaitkan dengan aktor ancaman bernama COLDRIVER , yang juga dikenal dengan nama Blue Callisto, BlueCharlie (atau TAG-53), Calisto (atau dieja Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (sebelumnya SEABORGIUM), TA446, dan UNC4057.
Aktif setidaknya sejak tahun 2012, kelompok tersebut dinilai sebagai unit operasional dalam Pusat 18 Dinas Keamanan Federal Rusia (FSB).
Pada bulan Desember 2023, pemerintah Inggris dan AS menjatuhkan sanksi kepada dua anggota kelompok tersebut – Aleksandrovich Peretyatko dan Andrey Stanislavovich Korinets – atas aktivitas pengumpulan kredensial dan kampanye spear-phishing yang mereka lakukan. Selanjutnya, pada bulan Juni 2024, Dewan Eropa menjatuhkan sanksi terhadap kedua individu yang sama.
Departemen Kehakiman AS mengatakan bahwa 41 domain yang baru disita tersebut digunakan oleh pelaku kejahatan siber untuk "melakukan pelanggaran berupa akses tidak sah ke komputer untuk memperoleh informasi dari departemen atau lembaga di Amerika Serikat, akses tidak sah ke komputer untuk memperoleh informasi dari komputer yang dilindungi, dan menyebabkan kerusakan pada komputer yang dilindungi."
Domain tersebut diduga telah digunakan sebagai bagian dari kampanye spear-phishing yang menargetkan akun email pemerintah AS dan korban lainnya dengan tujuan mengumpulkan kredensial dan data berharga.
Bersamaan dengan pengumuman tersebut, Microsoft mengatakan pihaknya mengajukan gugatan perdata untuk menyita 66 domain internet tambahan yang digunakan oleh COLDRIVER untuk menargetkan lebih dari 30 entitas dan organisasi masyarakat sipil antara Januari 2023 dan Agustus 2024.
Ini termasuk LSM dan lembaga pemikir yang mendukung pegawai pemerintah dan pejabat militer dan intelijen, khususnya mereka yang memberikan dukungan kepada Ukraina dan negara-negara NATO seperti Inggris dan AS. Penargetan LSM oleh COLDRIVER sebelumnya didokumentasikan oleh Access Now dan Citizen Lab pada bulan Agustus 2024.
"Operasi Star Blizzard tak kenal lelah, mengeksploitasi kepercayaan, privasi, dan keakraban dalam interaksi digital sehari-hari," kata Steven Masada, asisten penasihat umum di Unit Kejahatan Digital (DCU) Microsoft . "Mereka sangat agresif dalam menargetkan mantan pejabat intelijen, pakar urusan Rusia, dan warga negara Rusia yang tinggal di AS."
Raksasa teknologi itu mengatakan pihaknya mengidentifikasi 82 pelanggan yang telah menjadi sasaran musuh sejak Januari 2023, yang menunjukkan kegigihan di pihak kelompok tersebut untuk berevolusi dengan taktik baru dan mencapai tujuan strategis mereka.
"Frekuensi ini menggarisbawahi ketekunan kelompok tersebut dalam mengidentifikasi target bernilai tinggi, menyusun email phishing yang dipersonalisasi, dan mengembangkan infrastruktur yang diperlukan untuk pencurian kredensial," kata Masada. "Korban mereka, yang sering kali tidak menyadari niat jahat, tanpa sadar terlibat dengan pesan-pesan ini yang menyebabkan kredensial mereka dibobol."
0 Comments