Cуд в Соединенных Штатах арестовал 107 доменных имен, которые использовала хакерская группа ColdRiver (также известная как Star Blizzard) для кибератак по всему миру, в том числе в США. Иск был подан компанией Microsoft и министерством юстиции США.

ColdRiver, выяснили расследователи, организовала фишинговую атаку на представителей российских, белорусских и западных НКО, политиков, правозащитников, независимых журналистов и благотворительных фондов. Хакерская группа, по данным "Первого отдела", связана с Центром информационной безопасности ФСБ.

"Российское правительство запустило эту схему для кражи конфиденциальной информации американцев, используя, казалось бы, законные учетные записи электронной почты, чтобы обманом заставить жертв раскрыть учетные данные. При постоянной поддержке наших партнеров из частного сектора мы будем неустанно разоблачать российских субъектов и киберпреступников", – заявила заместитель генпрокурора США Лиза Монако.

СМОТРИТЕ ТАКЖЕ:

Хакеры организовали фишинговую атаку на активистов, журналистов и юристов. К ней может быть причастна ФСБ – расследование

В Microsoft ожидают, что ColdRiver (Star Blizzard) будет создавать новую инфраструктуру. Принятое судом решение, как отмечается, позволит компании быстро пресечь деятельность любой новой инфраструктуры и собрать дополнительные сведения об этом субъекте и масштабах его деятельности, которые будут использованы для повышения безопасности продуктов и обмена информацией с межотраслевыми партнерами.

О деятельности ColdRiver в августе в совместном расследовании рассказали лаборатория Citizen Lab при Университете Торонто, организация по защите цифровых прав Access Now, проект "Первый отдел" и исследователи безопасности Arjuna Team и Resident.ngo.

ColdRiver и еще одна хакерская группа COLDWASTREL, по данным расследователей, создавали поддельные электронные адреса ProtonMail, с которых отправлялись письма от имени знакомых людей или организаций. В письмах были PDF-файлы, которые якобы были зашифрованы, а пользователю, чтобы открыть их, нужно было зайти в свой аккаунт на Proton Drive или Google Drive. Если получатель письма переходил по ссылке и вводил свой пароль и код от двухфакторной аутентификации, то злоумышленники получали доступ к данным. Со взломанной почты хакеры могли направлять новые фишинговые письма другим целям.