❗️ США ударили по одной из самых известных российских хакерских группировок. Сегодня суд объявил о конфискации 107 доменов, которые использовали кибершпионы из группы COLDRIVER, связанной с ФСБ. Это произошло после расследования «Первого отдела», The Citizen Lab и Access Now

Сегодня Окружной суд Соединенных Штатов Америки по округу Колумбия обнародвал совместный иск компании Microsoft и Министерства юстиции США против хакерской группы COLDRIVER (также известной как STAR BLIZZARD), связанной с российскими спецслужбами. По решению суда был нанесен удар по инфраструктуре кибершпионов — конфискованы 107 доменных имен, используемых для фишинговых атак на представителей российских, беларусских и западных НКО, политиков, правозащитников, независимых журналистов и благотворительных фондов. В частности, Фонд «Свободная Россия» заявлял о возможной причастности этой группы к утечке своих конфиденциальных данных.

Связь COLDRIVER с ФСБ была описана в совместном расследовании организации по защите цифровых прав Access Now, лаборатории The Citizen Lab при Университете Торонто, правозащитного проекта «Первый отдел», ARJUNA team и RESIDENT.ngo. В этом расследовании мы рассказали, что в российских спецслужбах есть по меньшей мере два подразделения, занимающихся кибершпионажем: Центр радиоэлектронной разведки на средствах связи, известный как Центр-16, и Центр информационной безопасности — он же Центр-18. С последним и связана хакерская группа COLDRIVER, известная своими атаками на британскую разведку и американские ядерные лаборатории. Юридическое заявление, основанное на этом расследовании, было подано Access Now в поддержку иска Microsoft и Минюста США.

«Российское правительство запустило эту схему для кражи конфиденциальной информации, используя, казалось бы, законные учетные записи электронной почты, чтобы обманом заставить жертв раскрыть учетные данные», — заявила заместитель генерального прокурора США Лиза Монако.

Напомним, как работала фишинговая схема COLDRIVER. Злоумышленники выбирали цель с высоким уровнем доступа к документам интересующей их организации. Затем они отправляли этому человеку письмо от якобы хорошо знакомого и надежного коллеги. К письму, обычно, был приложен PDF-документ, содержание которого невозможно прочитать, поскольку он, якобы, «зашифрован». Жертва переходила по ссылке для «расшифровки» и, ничего не подозревая, выдавала злоумышленникам доступ к конфиденциальной информации.

Сведения, которые могли получить хакеры: переписки из рабочей почты, включая вложенные файлы; все содержимое атакуемого хранилища, в том числе внутренние документы организаций, к которым у жертв был открыт доступ; содержимое аккаунтов на других сервисах, если там не было двухфакторной аутентификации.

Сегодня были фактически нейтрализованы 107 адресов, которые использовались для подобных атак.

«Восстановление инфраструктуры потребует [от хакеров] времени, ресурсов и денег. Конечно, мы ожидаем, что они попробуют построить новую инфраструктуру, но сегодняшнее решение позволит нам быстро ликвидировать и ее, в рамках продолжающегося судебного разбирательства», — заявили в компании Microsoft.

Дело COLDRIVER продолжается. Подробнее о кибершпионских механизмах, которые используют спецслужбы, смотрите в видеорасследовании «‎Первого отдела» и читайте в докладах Access Now и Citizen Lab.

❗️Израиль, по всей видимости, нанёс удар по российской авиабазе Хмеймим в Сирии, чтобы уничтожить предназначенное для «Хезболлы» оружие, пишет Bild