USA und Microsoft versetzen russischem Cyberbetrug einen schweren Schlag und beschlagnahmen im Rahmen einer weltweiten Razzia 107 Domains
Im Rahmen einer groß angelegten Kampagne gegen Cyberbetrug gaben Microsoft und das US-Justizministerium kürzlich die Beschlagnahmung von 107 Internetdomänen bekannt, die von vom russischen Staat gesponserten Cyberkriminellen genutzt wurden. Diese Maßnahme ist Teil eines laufenden Kampfes zur Eindämmung von Cyberangriffen, insbesondere solcher, die mit dem Diebstahl vertraulicher Informationen und dem Missbrauch digitalen Vertrauens in Verbindung stehen.
Inhaltsverzeichnis
Die Russland-Connection: Daten der Amerikaner im Visier
Diese Domains, die von Cyberkriminellen mit Verbindungen zur russischen Regierung betrieben werden, wurden in erster Linie für Computerbetrug und -missbrauch genutzt. Das Ziel der Gruppe? Sie wollte vertrauliche Informationen von Amerikanern stehlen, indem sie die Opfer dazu verleitete, ihre Anmeldedaten über gefälschte, aber überzeugende E-Mail-Konten preiszugeben. Die stellvertretende Generalstaatsanwältin Lisa Monaco erklärte: „Die russische Regierung hat dieses System betrieben, um vertrauliche Informationen von Amerikanern zu stehlen. Dabei nutzte sie scheinbar legitime E-Mail-Konten, um die Opfer dazu zu bringen, ihre Kontoanmeldedaten preiszugeben.“
Die Täter dieser Cyberangriffe werden einer Gruppe namens COLDRIVER zugeschrieben. Der Name sagt einem vielleicht nicht sofort etwas, aber die Gruppe ist unter verschiedenen Decknamen berüchtigt : Blue Callisto, BlueCharlie, Dancing Salome, Gossamer Bear, Star Blizzard und mehr. COLDRIVER, auch als TAG-53 und UNC4057 bezeichnet, ist Berichten zufolge eine operative Einheit des russischen Inlandsgeheimdienstes (FSB), die seit mindestens 2012 aktiv ist.
Sanktionen und der wachsende Druck auf COLDRIVER
In den letzten Jahren wurden die Strafverfolgungsmaßnahmen gegen die Gruppe verstärkt. Im Dezember 2023 verhängten die britische und die US-Regierung Sanktionen gegen zwei der prominenten Mitglieder von COLDRIVER : Aleksandrovich Peretyatko und Andrey Stanislavovich Korinets. Diese Personen wurden für ihre Rolle bei der Erfassung von Anmeldeinformationen und der Durchführung von Spear-Phishing-Kampagnen ausgewählt – hochgradig zielgerichtete Bemühungen, die darauf abzielten, die Systeme von US-Regierungsbeamten, Militärangehörigen und zivilgesellschaftlichen Organisationen zu infiltrieren. Weitere Sanktionen folgten im Juni 2024 vom Europäischen Rat, wodurch der internationale Druck auf die Gruppe anhielt.
Die Domänen – Ein Tor für Cyberangriffe
41 der 107 beschlagnahmten Domänen wurden von den Angreifern hauptsächlich für Spear-Phishing-Kampagnen gegen die US-Regierung verwendet. Diese Kampagnen zielten auf hochrangige E-Mail-Konten mit dem Ziel, Anmeldeinformationen zu stehlen und auf wertvolle, oft geheime Informationen zuzugreifen. Diese Taktik ist ein wichtiger Teil des operativen Spielplans von COLDRIVER, bei dem Tarnung und Social Engineering kombiniert werden, um Benutzer dazu zu bringen, sensible Systeme zu kompromittieren.
Das Justizministerium stellte fest, dass die Angreifer gegen mehrere Gesetze zum Computerzugriff verstoßen haben, darunter den unbefugten Zugriff auf Regierungssysteme und geschützte Computer. Diese böswilligen Aktionen verursachten erheblichen Schaden und unterstrichen die anhaltende und sich weiterentwickelnde Natur der modernen Cyberkriminalität.
Zivilklage von Microsoft im Kampf gegen das Netzwerk von COLDRIVER
Parallel zur Beschlagnahmung der Domänen unternahm Microsoft rechtliche Schritte, um 66 weitere mit COLDRIVER verbundene Internetdomänen zu neutralisieren. Diese Domänen wurden zwischen Januar 2023 und August 2024 genutzt, um über 30 zivilgesellschaftliche Einrichtungen und Organisationen anzugreifen. Dabei lag der Fokus vor allem auf NGOs und Thinktanks, die Regierungsangestellte, Militärangehörige und Geheimdienstmitarbeiter unterstützen. Die Aktivitäten der Gruppe erstreckten sich über NATO-Länder wie Großbritannien und die USA, wobei ein besonderes Interesse an Organisationen bestand, die die Ukraine unterstützen – ein klarer Hinweis auf die geopolitischen Ziele Russlands.
Steven Masada, stellvertretender General Counsel bei Microsofts Digital Crimes Unit (DCU), betonte die Schwere dieser Kampagnen. „Star Blizzards Operationen sind unerbittlich und nutzen das Vertrauen, die Privatsphäre und die Vertrautheit alltäglicher digitaler Interaktionen aus“, bemerkte er. Er betonte, dass die Gruppe besonders aggressiv gegen ehemalige Geheimdienstmitarbeiter, Experten für russische Angelegenheiten und sogar russische Bürger vorgegangen sei, die in den USA leben.
COLDRIVERs unermüdliche Jagd nach Daten
Seit Januar 2023 hat Microsoft 82 Kunden identifiziert, die von COLDRIVER ins Visier genommen wurden, was die Hartnäckigkeit der Gruppe widerspiegelt. „Ihre Häufigkeit unterstreicht die Sorgfalt der Gruppe bei der Identifizierung hochwertiger Ziele, der Erstellung personalisierter Phishing-E-Mails und der Entwicklung der notwendigen Infrastruktur für den Diebstahl von Anmeldeinformationen“, fügte Masada hinzu. Diese unermüdliche Verfolgung zeigt, dass die Gruppe ihre Methoden ständig verfeinert, um den Abwehrmaßnahmen immer einen Schritt voraus zu sein.
Opfer, die sich der böswilligen Absicht hinter diesen Phishing-E-Mails oft nicht bewusst sind, reagieren unwissentlich auf diese betrügerischen Nachrichten. Dadurch werden ihre Anmeldeinformationen kompromittiert und Cyberkriminelle erhalten Zugriff auf vertrauliche Daten und wichtige Netzwerke.
Ein Schritt vorwärts im Kampf gegen Cyberkriminalität
Die gemeinsamen Bemühungen von Microsoft und der US-Regierung, diese Domänen zu beschlagnahmen, stellen einen entscheidenden Sieg im anhaltenden Kampf gegen staatlich geförderte Cyberangriffe dar. Während dieses harte Vorgehen die Aktivitäten von COLDRIVER derzeit unterbricht, lässt die Geschichte der Gruppe darauf schließen, dass sie sich weiterentwickeln wird, weshalb Regierungen, Organisationen und Einzelpersonen weiterhin wachsam bleiben müssen.
Die Beschlagnahmung dieser Domänen ist nur ein Schritt in einem umfassenderen Bemühen, vertrauliche Informationen zu schützen, digitales Vertrauen zu sichern und Cyberkriminelle zur Verantwortung zu ziehen. Da sich Cyberbedrohungen ständig weiterentwickeln, kann die Bedeutung robuster Sicherheitsmaßnahmen und koordinierter globaler Reaktionen nicht genug betont werden.