У США суд прийняв рішення про арешт більше ста доменів, що використовувалися групою хакерів, пов'язаною з ФСБ Росії.
У Сполучених Штатах було арештовано 107 доменів, які використовувала хакерська група ColdRiver, відома також під назвою Star Blizzard, для здійснення кібератак у різних країнах, включаючи США. Цей позов ініціювали компанія Microsoft разом із Міністерством юстиції США.
Згідно з інформацією, яку отримали розслідувачі, група ColdRiver здійснила фішинг-атаку на представників некомерційних організацій з Росії, Білорусі та західних країн, а також на політиків, правозахисників, незалежних журналістів і благодійні фонди. Як зазначає видання "Перший відділ", ця хакерська група має зв'язки з Центром інформаційної безпеки ФСБ.
"Уряд Росії запровадив цю схему з метою викрадення конфіденційних даних американців, використовуючи, на перший погляд, легітимні електронні адреси для обману жертв і примушення їх до розкриття своїх облікових даних. Завдяки постійній підтримці наших партнерів у приватному секторі, ми будемо невтомно викривати російських агентів та кіберзлочинців", - повідомила Ліза Монако, заступниця генпрокурора США.
У Microsoft сподіваються, що ColdRiver (Star Blizzard) займеться розробкою нової інфраструктури. Як повідомляється, судове рішення, що було ухвалене, надасть компанії можливість оперативно зупиняти роботу будь-якої нової інфраструктури та зібрати додаткові дані про цю організацію та обсяги її діяльності. Ця інформація буде використана для покращення безпеки продуктів та для обміну даними з партнерами з різних галузей.
У серпні про діяльність ColdRiver було повідомлено в спільному розслідуванні, проведеному лабораторією Citizen Lab при Університеті Торонто, організацією з захисту цифрових прав Access Now, проєктом "Перший відділ", а також дослідниками з Arjuna Team та Resident.ngo.
ColdRiver та ще одна хакерська група COLDWASTREL, за даними розслідувачів, створювали підроблені електронні адреси ProtonMail, з яких надсилалися листи від імені знайомих людей чи організацій. У листах були PDF-файли, які нібито були зашифровані, а користувачеві, щоб відкрити їх, потрібно було зайти в свій акаунт на Proton Drive або Google Drive. Якщо одержувач листа переходив за посиланням та вводив свій пароль та код від двофакторної аутентифікації, то зловмисники отримували доступ до даних. Зі зламаної пошти хакери могли надсилати фішингові листи новим цілям своїх атак.
