Microsoft e il Dipartimento di Giustizia degli Stati Uniti (DoJ) hanno annunciato giovedì il sequestro di 107 domini internet utilizzati da criminali informatici che hanno legami con la Russia per facilitare frodi informatiche e abusi nel loro paese.
Com’è avvenuto il “Blitz digitale” di Microsoft e del dipartimento di Giustizia degli Stati Uniti (DoJ)
“Il governo russo ha gestito questo schema per rubare informazioni sensibili agli americani, utilizzando account email apparentemente legittimi per ingannare le vittime e far rivelare le credenziali dei loro account“, ha dichiarato il Vice Procuratore Generale Lisa Monaco.
L’attività è stata attribuita a un gruppo di criminali informatici chiamato COLDRIVER, noto anche con i nomi Blue Callisto, BlueCharlie (o TAG-53), Calisto (con l’ortografia alternata Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (precedentemente SEABORGIUM), TA446 e UNC4057.
Attivo almeno dal 2012, il gruppo è valutato come un’unità operativa all’interno del Centro 18 del Servizio Federale di Sicurezza russo (FSB).
Nel dicembre 2023, i governi del Regno Unito e degli Stati Uniti hanno sanzionato due membri del gruppo (i quali nomi sono: Aleksandrovich Peretyatko e Andrey Stanislavovich Korinets) per le loro attività dannose di raccolta di credenziali e campagne di spear-phishing e successivamente, nel giugno 2024, il Consiglio Europeo ha imposto sanzioni contro gli stessi due individui.
I domini russi fraudolenti che sono stati sequestrati da Microsoft e dal governo americano
Il DoJ ha dichiarato che i 41 domini recentemente sequestrati sono stati utilizzati da questi criminali informatici per “commettere violazioni di accesso non autorizzato a un computer al fine di ottenere informazioni da un dipartimento o agenzia degli Stati Uniti, accesso non autorizzato a un computer per ottenere informazioni da un computer protetto e causare danni a un computer protetto.”
Si ritiene che i domini siano stati utilizzati come parte di una campagna di spear-phishing mirata agli account email del governo degli Stati Uniti e ad altre vittime con l’obiettivo di raccogliere credenziali e dati preziosi.
La dichiarazione di Microsoft
Parallelamente all’annuncio, Microsoft ha dichiarato di aver avviato un’azione civile corrispondente per sequestrare altri 66 domini internet utilizzati da COLDRIVER per prendere di mira oltre 30 entità e organizzazioni della società civile tra gennaio 2023 e agosto 2024.
Ciò includeva ONG e think tank che supportano dipendenti governativi e funzionari militari e dell’intelligence, in particolare coloro che forniscono supporto all’Ucraina e ai paesi della NATO come il Regno Unito e gli Stati Uniti; il bersagliamento delle ONG da parte di COLDRIVER è stato precedentemente documentato da Access Now e Citizen Lab nell’agosto 2024.
“Le operazioni di Star Blizzard sono implacabili, sfruttando la fiducia, la privacy e la familiarità delle interazioni digitali quotidiane“, ha dichiarato Steven Masada, assistente del consulente generale presso l’Unità Crimini Digitali (DCU) di Microsoft. “Sono stati particolarmente aggressivi nel prendere di mira ex funzionari dell’intelligence, esperti di affari russi e cittadini russi residenti negli Stati Uniti.”
Il gigante tecnologico ha dichiarato di aver identificato 82 clienti che sono stati presi di mira dall’avversario dal gennaio 2023, dimostrando la tenacia del gruppo nell’evolversi con nuove tattiche per raggiungere i propri obiettivi strategici.
“Questa frequenza sottolinea la diligenza del gruppo nell’identificare obiettivi di alto valore, nel creare email di phishing personalizzate e nello sviluppare l’infrastruttura necessaria per il furto di credenziali“, ha affermato Masada. “Le loro vittime, spesso inconsapevoli delle intenzioni dannose, interagiscono involontariamente con questi messaggi, portando alla compromissione delle loro credenziali.”
Cosa fare per difendersi da simili attacchi
La scoperta di questi siti fraudolenti con tanto di cessione grazie al DoJ e a Microsoft mette in luce una cosa che pochissime persone hanno il coraggio di ammettere: il sapere come muoversi quando si usa un qualsiasi dispositivo telematico ed informatico.
Inutile installare miriadi di antivirus (che rallentano solo il PC o il telefono) se poi si clicca a casaccio in ogni dove, su link ingannevoli e si casca davanti a form che sembrano il sito vero (senza prestare attenzione a piccoli dettagli grafici, ma soprattutto all’URL).
Il personale che lavora su computer, telefoni o tablet andrebbe formato, invece di affidarsi al solo antivirus.
