Microsoft ontregelt door Rusland gesponsorde hackersgroep Star Blizzard

Microsoft meldt: 'De Digital Crimes Unit (DCU) van Microsoft verstoort de technische infrastructuur die wordt gebruikt door een hardnekkige Russische natiestaatacteur die Microsoft Threat Intelligence volgt als Star Blizzard. De United States District Court for the District of Columbia een civiele rechtszaak geopend die is aangespannen door de DCU van Microsoft, inclusief de opdracht die Microsoft machtigt om 66 unieke domeinen in beslag te nemen die door Star Blizzard worden gebruikt in cyberaanvallen gericht op Microsoft-klanten wereldwijd, waaronder in de Verenigde Staten. Tussen januari 2023 en augustus 2024 zag Microsoft dat Star Blizzard meer dan 30 maatschappelijke organisaties targette - journalisten, denktanks en niet-gouvernementele organisaties (ngo's) die essentieel zijn voor het laten floreren van de democratie - door spear-phishingcampagnes in te zetten om gevoelige informatie te exfiltreren en hun activiteiten te verstoren.

We dienen deze rechtszaak in bij het NGO Information Sharing and Analysis Center (NGO-ISAC) en hebben samengewerkt met het Department of Justice (DOJ), dat tegelijkertijd 41 extra domeinen in beslag nam die aan dezelfde actor werden toegeschreven . Samen hebben we meer dan 100 websites in beslag genomen. Het herbouwen van infrastructuur kost tijd, verbruikt middelen en kost geld. Door samen te werken met DOJ, hebben we de reikwijdte van de verstoring kunnen vergroten en meer infrastructuur in beslag kunnen nemen, waardoor we een grotere impact kunnen leveren tegen Star Blizzard.

Hoewel we verwachten dat Star Blizzard altijd nieuwe infrastructuur zal opzetten, heeft de actie van vandaag invloed op hun activiteiten op een kritiek moment waarop buitenlandse inmenging in Amerikaanse democratische processen van het grootste belang is. Het zal ons ook in staat stellen om snel elke nieuwe infrastructuur te verstoren die we identificeren via een bestaande gerechtelijke procedure. Bovendien zullen Microsoft's DCU en Microsoft Threat Intelligence via deze civiele actie en ontdekking aanvullende waardevolle informatie verzamelen over deze actor en de reikwijdte van zijn activiteiten, die we kunnen gebruiken om de beveiliging van onze producten te verbeteren, te delen met partners in andere sectoren om hen te helpen bij hun eigen onderzoeken en slachtoffers te identificeren en te helpen met herstelmaatregelen. 

Volhardend

Star Blizzard zet onvermoeibaar in op het exploiteren van het vertrouwen, de privacy en de vertrouwdheid van alledaagse digitale interacties.

Star Blizzard (ook bekend als COLDRIVER en Callisto Group) is sinds ten minste 2017 actief betrokken bij verschillende vormen van cyberaanvallen en -activiteiten. Sinds 2022 heeft Star Blizzard hun detectie-ontwijkingsmogelijkheden verbeterd, terwijl ze zich bleven richten op diefstal van e-mailreferenties tegen dezelfde doelen. Onze acties vandaag zullen van invloed zijn op die mogelijkheden. Star Blizzard richt zich onlangs op NGO's en denktanks die overheidsmedewerkers en militaire en inlichtingenfunctionarissen ondersteunen, met name degenen die ondersteuning bieden aan Oekraïne en in NAVO-landen zoals de Verenigde Staten en het Verenigd Koninkrijk, evenals in de Baltische staten, de Scandinavische landen en Oost-Europa. Ze zijn bijzonder agressief geweest in het targeten van voormalige inlichtingenfunctionarissen, experts op het gebied van Russische zaken en Russische burgers die in de VS wonen. In 2023 schreven de Britse regering en haar bondgenoten Star Blizzard toe aan de Russische Federale Veiligheidsdienst (FSB) en onthulden de poging van de acteur tot inmenging in de Britse politiek door het targeten van gekozen functionarissen, denktanks, journalisten en de publieke sector.

Star Blizzard is volhardend. Ze bestuderen hun doelwitten nauwgezet en doen zich voor als vertrouwde contactpersonen om hun doelen te bereiken . Sinds januari 2023 heeft Microsoft 82 klanten geïdentificeerd die het doelwit waren van deze groep , met een snelheid van ongeveer één aanval per week. Deze frequentie onderstreept de ijver van de groep bij het identificeren van waardevolle doelen, het opstellen van gepersonaliseerde phishing-e-mails en het ontwikkelen van de benodigde infrastructuur voor diefstal van inloggegevens. Hun slachtoffers, die zich vaak niet bewust zijn van de kwaadaardige bedoelingen, gaan onbewust om met deze berichten, wat leidt tot het in gevaar brengen van hun inloggegevens. Deze aanvallen belasten middelen , belemmeren operaties en wekken angst op bij slachtoffers - allemaal belemmeren ze democratische participatie .

Voorbeelden van phishingmails van Star Blizzard.

Het vermogen van Star Blizzard om zich aan te passen en zijn identiteit te verhullen, vormt een voortdurende uitdaging voor cybersecurityprofessionals. Zodra hun actieve infrastructuur wordt blootgesteld, stappen ze snel over naar nieuwe domeinen om hun activiteiten voort te zetten. Zo publiceerden The Citizen Lab  van de Munk School van de Universiteit van Toronto en de digitale rechtengroep Access Now , zelf een non-profitorganisatie van NGO-ISAC, die een verklaring indiende ter ondersteuning van deze civiele actie, op 14 augustus 2024 een uitgebreid onderzoeksrapport waarin de aanhoudende dreiging van deze actor werd benadrukt. Sinds de publicatie van dit rapport hebben Access Now en The Citizen Lab verschillende aanvullende gevallen onderzocht en geloven ze dat ten minste één van deze gevallen verband houdt met Star Blizzard. Dit toont aan dat Star Blizzard actief blijft en niet wordt afgeschrikt, ondanks dat overheden, bedrijven en het maatschappelijk middenveld hun kwaadaardige activiteiten blootleggen.

Proactief

De activiteiten van Star Blizzard benadrukken hoe belangrijk het is om internationale normen te handhaven om verantwoord online overheidsgedrag te waarborgen.

De actie van vandaag is een voorbeeld van de impact die we kunnen hebben tegen cybercriminaliteit als we samenwerken. We prijzen het ministerie van Justitie voor hun samenwerking in deze en andere belangrijke kwesties en moedigen regeringen wereldwijd aan om industriële partners, zoals Microsoft, te betrekken en te omarmen in een gezamenlijke missie om steeds geavanceerdere bedreigingen in cyberspace te bestrijden. Microsoft's DCU zal onze inspanningen voortzetten om proactief cybercriminele infrastructuur te verstoren en samen te werken met anderen in de particuliere sector en met het maatschappelijk middenveld, overheidsinstanties en wetshandhaving om terug te vechten tegen degenen die schade willen veroorzaken. DCU zal eveneens blijven innoveren en nieuwe en creatieve manieren ontwikkelen om de technieken en tactieken van geavanceerde cybercriminelen te detecteren, verstoren en af ​​te schrikken om individuen online te beschermen.

Als best practice moedigen wij alle maatschappelijke groeperingen aan om hun cyberbeveiliging te versterken , sterke multifactorauthenticatie te gebruiken, zoals wachtwoorden voor zowel persoonlijke als professionele accounts, en zich aan te melden voor het AccountGuard- programma van Microsoft voor een extra laag van bewaking en bescherming tegen cyberaanvallen door nationale staten .

Deze inspanningen en toezeggingen moeten echter gepaard gaan met de toepassing van internationale normen om cyberaanvallen te beperken die verband houden met natiestaten die doelbewust de delen van de samenleving aanvallen die democratie mogelijk maken. De waargenomen activiteit van Star Blizzard schendt het VN-kader voor verantwoord staatsgedrag online , een duidelijke reeks normen die door alle VN-lidstaten zijn overeengekomen om te voorkomen dat hun grondgebied wordt gebruikt voor kwaadaardige onlineactiviteiten. Door actie te ondernemen tegen Star Blizzard benadrukken Microsoft en haar partners het belang van deze internationaal overeengekomen normen en tonen ze een toewijding aan de handhaving ervan, met als doel het maatschappelijk middenveld te beschermen en de rechtsstaat in cyberspace te handhaven.'