Microsoft dan Departemen Kehakiman telah menyita lebih dari 100 domain yang digunakan oleh kelompok peretas ColdRiver Rusia untuk menargetkan pegawai pemerintah Amerika Serikat dan organisasi nirlaba dari Rusia dan seluruh dunia dalam serangan spear-phishing.
Pada bulan Desember, Inggris dan sekutu Five Eyes-nya terhubung kelompok ancaman ini terhadap Dinas Keamanan Federal (FSB) Rusia, badan keamanan dalam negeri dan kontra intelijen negara tersebut.
Menurut a pernyataan tertulis yang tidak disegel sebagianmereka menyerang berbagai sasaran, termasuk perusahaan-perusahaan yang berbasis di Amerika Serikat dan mantan dan karyawan aktif Komunitas Intelijen Amerika Serikat, Departemen Pertahanan, dan Departemen Luar Negeri, serta staf di Departemen Energi dan kontraktor pertahanan militer AS. .
“Antara Januari 2023 dan Agustus 2024, Microsoft mengamati Star Blizzard menargetkan lebih dari 30 organisasi masyarakat sipil – jurnalis, lembaga pemikir, dan organisasi non-pemerintah (LSM) yang inti untuk memastikan demokrasi dapat berkembang – dengan menyebarkan kampanye spear-phishing untuk mengambil informasi sensitif dan mengganggu aktivitas mereka,” dikatakan Steven Masada, Asisten Penasihat Umum di Unit Kejahatan Digital Microsoft.
Bersama-sama, Microsoft dan DOJ menyita 107 domain—66 oleh Microsoft dan 41 oleh DOJ—membongkar infrastruktur serangan yang digunakan oleh peretas ColdRiver dalam serangan yang sedang berlangsung.
“Pemerintah Rusia menjalankan skema ini untuk mencuri informasi sensitif warga Amerika, menggunakan akun email yang tampaknya sah untuk mengelabui korban agar mengungkapkan kredensial akunnya,” kata Wakil Jaksa Agung Lisa Monaco.
“Penyitaan ini adalah bagian dari respons terkoordinasi dengan mitra sektor swasta kami untuk membongkar infrastruktur yang digunakan pelaku spionase dunia maya untuk menyerang sasaran AS dan internasional,” tambah Jaksa AS Ismail J. Ramsey.
Aktif setidaknya sejak 2017
Juga dilacak sebagai Callisto Group, Seaborgium, dan Star Blizzard, kelompok ancaman ColdRiver telah menggunakan kecerdasan sumber terbuka (OSINT) dan keterampilan rekayasa sosial untuk meneliti dan memikat target setidaknya sejak tahun 2017.
Badan siber Five Eyes diperingatkan pada bulan Desember 2023 akibat serangan spear-phishing ColdRiver terhadap akademisi, pertahanan, organisasi pemerintah, LSM, lembaga pemikir, dan politisi. Pada tahun 2022, setelah Rusia menginvasi Ukraina, serangan-serangan ini meluas ke sasaran industri pertahanan dan fasilitas Departemen Energi AS.
Microsoft sebelumnya menggagalkan serangan ColdRiver terhadap beberapa negara NATO Eropa dengan menonaktifkan akun Microsoft yang mereka gunakan untuk mengumpulkan email dan memantau aktivitas korbannya.
Pada bulan Desember, Departemen Luar Negeri AS diberi sanksi dua operator ColdRiver (salah satunya adalah petugas FSB) yang DOJ juga didakwa atas keterlibatan mereka dalam kampanye peretasan global yang dikoordinasikan oleh pemerintah Rusia.
Departemen Luar Negeri sekarang menawarkan hadiah hingga $10 juta untuk informasi yang dapat membantu menemukan atau mengidentifikasi anggota ColdRiver lainnya.
