Связи с ФСБ и атака на ядерные лаборатории: США заблокировали более 100 доменов российских хакеров
Более 100 доменов, использовавшихся хакерами из группировки ColdRiver для фишинговых атак, было изъято совместными усилиями Министерства юстиции США и компании Microsoft. Злоумышленников, стоящих за киберпреступлениями, связывают с Федеральной службой безопасности (ФСБ) России.
Согласно заявлению Минюста США, ведомство получило ордер на арест 41 домена. Еще 66 доменов удалось заблокировать по гражданскому иску, который был подан Microsoft. Они использовались хакерами, принадлежащими к группировке Callisto Group (также известна как ColdRiver). Ее связывают с оперативным подразделением ФСБ «Центр-18». Оно занимается получением доступа к информации американских департаментов и агентств.
Участники Callisto Group, среди прочего, были нацелены на американские фирмы, бывших сотрудников разведывательного сообщества США, бывших и нынешних служащих Пентагона и Госдепартамента, военных оборонных подрядчиков и сотрудников Министерства энергетики.
Microsoft отслеживает группировку как Star Blizzard. В период с января 2023 года по август 2024 года компания наблюдала, как хакеры нацелились «на более чем 30 субъектов гражданского общества». Речь, в частности, идет о журналистах, аналитических центрах и неправительственных организациях, против которых были развернуты фишинговые кампании с целью утечки конфиденциальной информации и вмешательства в их деятельность.
«Российское правительство запустило эту схему, чтобы украсть конфиденциальную информацию американцев, используя, казалось бы, легитимные учетные записи электронной почты, чтобы обманом заставить жертв раскрыть учетные данные, — заявила заместитель генерального прокурора США Лиза Монако. — При постоянной поддержке наших партнеров из частного сектора мы будем неустанно разоблачать российских злоумышленников и киберпреступников и лишать их инструментов незаконной деятельности».
В середине августа исследователи из Citizen Lab при Университете Торонто вместе со специалистами Access Now, правозащитным проектом «Первый отдел» и другими организациями сообщили о выявлении двух кампаний «целевого фишинга», которые были направлены на активистов, СМИ и неправительственные организации из Восточной Европы — многие из них поддерживают Украину после начала боевых действий в феврале 2022 года.
Злоумышленники, используя фиктивные электронные адреса ProtonMail, выдавали себя за реально существующие организации или людей, которые были знакомы жертвам. Таким образом им удавалось получить доступ к информации.
Согласно заявлению ФБР, информация, к которой был получен доступ, включала личные данные о «сотрудниках Соединенных Штатов, обороны, иностранных дел и политики безопасности», а также технологии, исследования и разработки, связанных с ядерной энергетикой. Арест доменов — это тот редкий случай, когда США использовали судебную систему, чтобы публично продемонстрировать, как они срывают предполагаемую иностранную операцию по кибершпионажу, отмечает NBC News.
Многие домены, предположительно используемые ФСБ, размещались компанией Verisign из Вирджинии, следует из судебных документов. Правда, нет никаких указаний на то, что эта фирма сознательно разрешала российским силовикам использовать свои сервисы для проведения хакерских атак.
ColdRiver, по утверждению Microsoft, активно участвовала в различных формах кибератак как минимум с 2017 года. В прошлом году британские власти заявили, что группировка похитила данные, связанные с выборами 2019 года. В расследовании Reuters в начале того же года говорилось, что хакеры пытались проникнуть во внутренние сети ядерных лабораторий США.
Ранее RTVI.US писал, что иранские хакеры выкрали документацию кампании Дональда Трампа и разослали ее штабу Джо Байдена.
