บริษัท Microsoft และกระทรวงยุติธรรมได้ยึดโดเมนมากกว่า 100 โดเมนที่กลุ่มแฮ็กเกอร์ชาวรัสเซีย ColdRiver ใช้การโจมตีแบบฟิชชิ่ง ทำการโจมตีหน่วยงานของรัฐบาลสหรัฐฯ และองค์กรที่ไม่แสวงหากำไรทั่วโลก
ในเดือนธันวาคม สหราชอาณาจักร และพันธมิตร Five Eyes ได้เชื่อมโยงกลุ่มผู้โจมตีนี้กับหน่วยงานความมั่นคงของรัฐบาลกลางรัสเซีย (FSB) ว่ามีความเกี่ยวข้องกัน ซึ่ง FSB เป็นหน่วยงานความมั่นคงภายใน และหน่วยข่าวกรองของรัสเซีย
ตามรายงานที่เปิดเผยบางส่วน กลุ่มแฮ็กเกอร์โจมตีไปยังเป้าหมายหลายหน่วยงาน รวมถึงบริษัทต่าง ๆ ที่ตั้งอยู่ในสหรัฐอเมริกา เช่น หน่วยข่าวกรองสหรัฐอเมริกา, กระทรวงกลาโหม, กระทรวงการต่างประเทศ, กระทรวงพลังงาน, รวมไปถึงเจ้าหน้าที่ทางด้านการป้องกันประเทศทางทหารของสหรัฐอเมริกา และเจ้าหน้าที่รัฐหลายหน่วยงานทั้งในอดีต และปัจจุบัน
Steven Masada ผู้ช่วยที่ปรึกษาทางกฎหมายทั่วไปของหน่วยอาชญากรรมดิจิทัลของ Microsoft ระบุว่า ระหว่างเดือนมกราคม 2023 ถึงเดือนสิงหาคม 2024 Microsoft ได้สังเกตเห็นว่า Star Blizzard ได้กำหนดเป้าหมายไปยังองค์กรภาคประชาสังคมมากกว่า 30 องค์กร ได้แก่ นักข่าว, กลุ่มนักวิจัย และองค์กรพัฒนาเอกชน (NGO) โดยใช้แคมเปญฟิชชิ่งแบบเจาะจงเพื่อขโมยข้อมูลที่สำคัญ และแทรกแซงกิจกรรมของพวกเขา
Microsoft และ DOJ ได้ร่วมกันยึดโดเมนกว่า 107 โดเมน ซึ่ง 66 โดเมนดำเนินการยึดโดย Microsoft และ 41 โดเมนดำเนินการยึดโดย DOJ ส่งผลให้โครงสร้างพื้นฐานการโจมตีที่แฮ็กเกอร์ ColdRiver ใช้ในการโจมตีที่กำลังดำเนินอยู่ถูกยุติไป
ลิซ่า โมนาโก รองอัยการสูงสุด ระบุว่า รัฐบาลรัสเซียดำเนินตามแผนการนี้เพื่อขโมยข้อมูลที่สำคัญของชาวอเมริกัน โดยใช้บัญชีอีเมลที่น่าเชื่อถือเพื่อหลอกล่อเหยื่อให้เปิดเผยข้อมูลบัญชี
อิสมาอิล เจ. แรมซีย์ อัยการสหรัฐฯ ระบุเพิ่มเติมว่า การยึดครั้งนี้เป็นส่วนหนึ่งของการตอบสนองที่ประสานงานร่วมกับพันธมิตรภาคเอกชนเพื่อรื้อถอนโครงสร้างพื้นฐานที่ผู้ก่ออาชญากรรมทางไซเบอร์ใช้เพื่อโจมตีเป้าหมายในสหรัฐฯ และต่างประเทศ
เปิดใช้งานมาตั้งแต่ปี 2017
กลุ่ม ColdRiver หรือเป็นที่รู้จักในชื่อ Callisto Group, Seaborgium และ Star Blizzard ใช้ข้อมูล open-source intelligence (OSINT) และเทคนิคแบบ social engineering ในการค้นคว้าข้อมูล และโจมตีเป้าหมายมาตั้งแต่ปี 2017
หน่วยงานด้านไซเบอร์ของ Five Eyes ได้แจ้งเตือนในเดือนธันวาคม 2023 เกี่ยวกับการโจมตีแบบฟิชชิ่งของ ColdRiver ต่อสถาบันการศึกษา, กระทรวงกลาโหม, องค์กรของรัฐ, องค์กรพัฒนาเอกชน, สถาบันวิจัย และนักการเมือง โดยในปี 2022 หลังจากที่รัสเซียเริ่มทำสงครามกับยูเครน การโจมตีเหล่านี้ได้ขยายวงกว้างไปยังเป้าหมายที่เป็นอุตสาหกรรมการป้องกันประเทศ และสถานที่ของกระทรวงพลังงานของสหรัฐฯ
ก่อนหน้านี้ทาง Microsoft ได้ขัดขวางการโจมตีของ ColdRiver ร่วมกับประเทศสมาชิก NATO ในยุโรปหลายประเทศ ด้วยการปิดการใช้งานบัญชี Microsoft ที่ใช้รวบรวมอีเมล และติดตามกิจกรรมของเหยื่อ
ในเดือนธันวาคม กระทรวงการต่างประเทศสหรัฐฯ ได้คว่ำบาตรสมาชิกกลุ่ม ColdRiver สองราย (หนึ่งในนั้นเป็นเจ้าหน้าที่ FSB) โดยกระทรวงยุติธรรมยังได้ฟ้องร้องพวกเขาในข้อหาที่เกี่ยวข้องกับแคมเปญการโจมตีระดับโลกที่มีรัฐบาลรัสเซียสนับสนุน
ขณะนี้กระทรวงการต่างประเทศเสนอรางวัลสูงสุด 10 ล้านเหรียญสหรัฐ สำหรับข้อมูลที่สามารถช่วยค้นหา หรือระบุตัวตนสมาชิกกลุ่ม ColdRiver รายอื่นได้
ที่มา :bleepingcomputer.com
You must be logged in to post a comment.