Microsoft et le ministère de la Justice ont saisi plus de 100 domaines utilisés par le groupe de piratage russe Colddriver pour cibler des employés du gouvernement américain et des organisations à but non lucratif de Russie et du monde entier dans des attaques de harponnage.
En décembre, le Royaume-Uni et ses alliés Five Eyes ont lié ce groupe menaçant au Service fédéral de sécurité (FSB) de Russie, le service de sécurité intérieure et de contre-espionnage du pays.
Selon un affidavit partiellement non scellé, ils ont attaqué un large éventail de cibles, y compris des entreprises basées aux États-Unis et d’anciens et actuels employés de la Communauté du renseignement des États-Unis, du Département de la Défense et du Département d’État, ainsi que du personnel du Département de l’Énergie et des entrepreneurs de la défense militaire américaine.
« Entre janvier 2023 et août 2024, Microsoft a observé que Star Blizzard ciblait plus de 30 organisations de la société civile – journalistes, groupes de réflexion et organisations non gouvernementales (ONG) essentielles au développement de la démocratie-en déployant des campagnes de spear – phishing pour exfiltrer des informations sensibles et interférer dans leurs activités », a déclaré Steven Masada, avocat général adjoint de l’Unité des crimes numériques de Microsoft.
Ensemble, Microsoft et le DOJ ont saisi 107 domaines—66 par Microsoft et 41 par le DOJ—démantelant l’infrastructure d’attaque utilisée par les pirates informatiques Colddriver dans les attaques en cours.
« Le gouvernement russe a mis en place ce stratagème pour voler les informations sensibles des Américains, en utilisant des comptes de messagerie apparemment légitimes pour inciter les victimes à révéler les informations d’identification de leur compte », a déclaré la sous-procureure générale Lisa Monaco.
« Cette saisie fait partie d’une réponse coordonnée avec nos partenaires du secteur privé pour démanteler l’infrastructure que les acteurs du cyberespionnage utilisent pour attaquer des cibles américaines et internationales », a ajouté le procureur américain Ismail J. Ramsey.
Actif depuis au moins 2017
Également connu sous le nom de Callisto Group, Seaborgium et Star Blizzard, le Colddriver threat group utilise des compétences en intelligence open source (OSINT) et en ingénierie sociale pour rechercher et attirer des cibles depuis au moins 2017.
Les cyber-agences Five Eyes ont mis en garde en décembre 2023 contre les attaques de harponnage de Colddriver contre les universités, la défense, les organisations gouvernementales, les ONG, les groupes de réflexion et les politiciens. En 2022, après l’invasion de l’Ukraine par la Russie, ces attaques se sont étendues aux cibles industrielles de défense et aux installations du département américain de l’Énergie.
Microsoft avait précédemment contrecarré les attaques Colddriver contre plusieurs pays européens de l’OTAN en désactivant les comptes Microsoft qu’ils utilisaient pour collecter des courriels et surveiller l’activité de leurs victimes.
En décembre, le Département d’État américain a sanctionné deux opérateurs de Colddriver (dont un officier du FSB) que le DOJ a également inculpés pour leur implication dans une campagne mondiale de piratage informatique coordonnée par le gouvernement russe.
Le département d’État offre maintenant jusqu’à 10 millions de dollars de récompenses pour des informations qui pourraient aider à localiser ou à identifier d’autres membres de Colddriver.