Microsoft en het ministerie van Justitie hebben meer dan 100 domeinen in beslag genomen die door de Russische ColdRiver-hackgroep werden gebruikt om werknemers van de Amerikaanse overheid en non-profitorganisaties vanuit Rusland en wereldwijd te richten in spear-phishing-aanvallen.

In december hebben het Verenigd Koninkrijk en zijn Five Eyes-bondgenoten deze dreigingsgroep gekoppeld aan de Russische Federale Veiligheidsdienst (FSB), de interne veiligheids- en contraspionagedienst van het land.

Volgens een gedeeltelijk verzegelde beëdigde verklaring vielen ze een breed scala aan doelen aan, waaronder in de Verenigde Staten gevestigde bedrijven en voormalige en huidige werknemers van de Amerikaanse inlichtingengemeenschap, ministeries van defensie en buitenlandse zaken, evenals personeel van het ministerie van energie en Amerikaanse militaire defensiecontractanten.

“Tussen januari 2023 en augustus 2024 heeft Microsoft geobserveerd dat Star Blizzard meer dan 30 maatschappelijke organisaties — journalisten, denktanks en niet-gouvernementele organisaties (NGO’s) die essentieel zijn om ervoor te zorgen dat democratie kan gedijen — heeft gericht door spear-phishingcampagnes uit te voeren om gevoelige informatie te exfiltreren en hun activiteiten te verstoren,” zei Steven Masada, adjunct-hoofdjurist bij Microsoft’s Digital Crimes Unit.

Samen namen Microsoft en het ministerie van Justitie 107 domeinen in beslag—66 door Microsoft en 41 door het ministerie van Justitie—waardoor de aanvalsinfrastructuur die door ColdRiver-hackers in lopende aanvallen werd gebruikt, werd ontmanteld.

“De Russische regering voerde dit plan uit om gevoelige informatie van Amerikanen te stelen, met behulp van schijnbaar legitieme e-mailaccounts om slachtoffers te misleiden om accountgegevens prijs te geven,” verklaarde onderminister van Justitie Lisa Monaco.

“Deze inbeslagname maakt deel uit van een gecoördineerde reactie met onze partners uit de private sector om de infrastructuur te ontmantelen die cyber spionage-actoren gebruiken om Amerikaanse en internationale doelen aan te vallen,” voegde de Amerikaanse advocaat Ismail J. Ramsey toe.

Actief sinds ten minste 2017

Ook gevolgd als Callisto Group, Seaborgium en Star Blizzard, heeft de ColdRiver-dreigingsgroep open source-intelligentie (OSINT) en sociale engineeringvaardigheden gebruikt om sinds ten minste 2017 onderzoek te doen naar en doelen te lokken.

Vijf Eyes-cyberagentschappen waarschuwden in december 2023 voor ColdRiver’s spear-phishingaanvallen tegen de academische wereld, defensie-, overheidsorganisaties, NGO’s, denktanks en politici. In 2022, na de Russische invasie van Oekraïne, breidden deze aanvallen zich uit naar defensie-industrie en faciliteiten van het Amerikaanse ministerie van Energie.

Microsoft verijdelde eerder ColdRiver-aanvallen tegen verschillende Europese NAVO-landen door de Microsoft-accounts uit te schakelen die ze gebruikten om e-mails te verzamelen en de activiteiten van hun slachtoffers te volgen.

In december sanctioneerde het Amerikaanse ministerie van Buitenlandse Zaken twee ColdRiver-operators (waarvan een een FSB-officier was) die het ministerie van Justitie ook aanklaagde voor hun betrokkenheid bij een wereldwijde hackcampagne gecoördineerd door de Russische regering.

Het ministerie van Buitenlandse Zaken biedt nu tot $10 miljoen aan beloningen voor informatie die kan helpen bij het opsporen of identificeren van andere ColdRiver-leden.