A Unidade de Crimes Digitais (DCU) da Microsoft está interrompendo a infraestrutura técnica usada por um persistente ator estatal russo que a Microsoft Risk Intelligence rastreia como Nevasca Estelar. Hoje, o Tribunal Distrital dos Estados Unidos para o Distrito de Columbia abriu uma ação civil movida pelo DCU da Microsoft, incluindo sua ordem que autoriza a Microsoft a confiscar 66 domínios exclusivos usados pela Star Blizzard em ataques cibernéticos contra clientes da Microsoft em todo o mundo, inclusive nos Estados Unidos. Entre janeiro de 2023 e agosto de 2024, a Microsoft observou a Star Blizzard atingir mais de 30 organizações da sociedade civil – jornalistas, grupos de reflexão e organizações não governamentais (ONGs) essenciais para garantir que a democracia possa prosperar – implantando campanhas de spear-phishing para exfiltrar informações confidenciais e interferir em suas atividades.
Estamos entrando com esta ação junto ao Centro de compartilhamento e análise de informações de ONGs (ONG-ISAC) e coordenaram com o Departamento de Justiça (DOJ), que simultaneamente apreendido 41 adicional domínios atribuído ao mesmo ator. Juntos, apreendemos mais de 100 websites. A reconstrução da infra-estrutura leva tempo, absorve recursos e custa dinheiro. Ao colaborar com o DOJ, conseguimos expandir o escopo da interrupção e aproveitar mais infraestrutura, o que nos permitiu causar maior impacto contra a Star Blizzard.
Embora esperemos que a Star Blizzard estabeleça sempre novas infra-estruturas, a acção de hoje tem impacto nas suas operações num momento crítico em que a interferência estrangeira nos processos democráticos dos EUA é de extrema preocupação. Também nos permitirá interromper rapidamente qualquer nova infraestrutura que identificarmos através de um processo judicial existente. Além disso, através deste ação civil e descoberta, o DCU da Microsoft e o Microsoft Risk Intelligence reunirão informações adicionais valiosas sobre esse ator e o escopo de suas atividades, que podemos usar para melhorar a segurança de nossos produtos, compartilhar com parceiros intersetoriais para ajudá-los em seus próprios investigações e identificar e ajudar as vítimas nos esforços de remediação.
As operações da Star Blizzard são implacáveis, explorando a confiança, a privacidade e a familiaridade das interações digitais cotidianas.
A Star Blizzard (também conhecida como COLDRIVER e Callisto Group) tem se envolvido ativamente em várias formas de ataques e atividades cibernéticas desde pelo menos 2017. Desde 2022, a Star Blizzard melhorou suas capacidades de evasão de detecção, enquanto permanece focada no roubo de credenciais de e-mail contra os mesmos alvos. Nossas ações hoje terão impacto nessas capacidades. Mais recentemente, a Star Blizzard tem como alvo ONGs e grupos de reflexão que apoiam funcionários governamentais e oficiais militares e de inteligência, especialmente aqueles que prestam apoio à Ucrânia e em países da NATO como os Estados Unidos e o Reino Unido, bem como nos países bálticos, nórdicos e Europa Oriental. Têm sido particularmente agressivos ao visar antigos funcionários dos serviços secretos, especialistas em assuntos russos e cidadãos russos residentes nos EUA. Em 2023, o governo britânico e os seus aliados atribuído Star Blizzard para o Serviço Federal de Segurança Russo (FSB) e expor a tentativa de interferência do ator na política do Reino Unido através do ataque a funcionários eleitos, grupos de reflexão, jornalistas e ao setor público.
é persistente. Eles estudar meticulosamente seus alvos e posar como contatos confiáveis para alcançar seus objetivos. Desde janeiro de 2023, a Microsoft tem identificado 82 clientes segmentados por este grupoa uma taxa de aproximadamente um ataque por semana. Essa frequência ressalta o empenho do grupo em identificando alvos de alto valor, criando e-mails de phishing personalizados e desenvolvendo a infraestrutura necessária para roubo de credenciais. Suas vítimas, muitas vezes inconscientes da intenção maliciosa, inconscientemente envolver-se com essas mensagens que levam ao compromisso de suas credenciais. Esses ataqueé variedade recursos, dificultar as operações e alimentar o medo em vítimas – todos impedindo a democracia participação.
Exemplos de e-mails de phishing da Star Blizzard.
A capacidade da Star Blizzard de adaptar e ofuscar sua identidade representa um desafio contínuo para os profissionais de segurança cibernética. Depois que sua infraestrutura ativa é exposta, eles fazem a transição rápida para novos domínios para continuar suas operações. Por exemplo, em 14 de agosto de 2024, O Laboratório Cidadãoda Munk Faculty da Universidade de Toronto e do grupo de direitos digitais Acesse agoraela própria um membro sem fins lucrativos da ONG-ISAC, que apresentou uma declaração em apoio a esta ação civil, publicado um documento de pesquisa abrangente destacando a ameaça persistente representada por este ator. Desde a publicação deste relatório, o Entry Now e o Citizen Lab têm investigado vários casos adicionais e acreditam que pelo menos um deles está associado à Star Blizzard. Isto mostra que a Star Blizzard permanece ativa e não é dissuadida, apesar de governos, empresas e sociedade civil exporem as suas atividades maliciosas.
As atividades da Star Blizzard ressaltam a importância de defender as normas internacionais para governar o comportamento responsável do Estado on-line.
A ação de hoje é um exemplo do impacto que podemos ter contra o cibercrime quando trabalhamos juntos. Aplaudimos o DOJ pela sua colaboração nesta e noutras questões importantes e incentivamos os governos de todo o mundo a envolverem-se e abraçarem parceiros da indústria, como a Microsoft, numa missão partilhada de combate a ameaças cada vez mais sofisticadas que operam no ciberespaço. A DCU da Microsoft continuará os seus esforços para perturbar proativamente a infraestrutura cibercriminosa e colaborar com outros do setor privado e com a sociedade civil, agências governamentais e autoridades policiais para lutar contra aqueles que procuram causar danos. Da mesma forma, a DCU continuará a inovar e desenvolver maneiras novas e criativas de detectar, interromper e dissuadir as técnicas e táticas de cibercriminosos sofisticados para proteger indivíduos on-line.
Como melhor prática, encorajamos todos os grupos da sociedade civil a reforçarem a sua proteções de segurança cibernética, use autenticação multifator forte, como chaves de acesso em ambos pessoal e profissional contas e inscreva-se no AccountGuard da Microsoft programa para uma camada adicional de monitoramento e proteção contra ataques cibernéticos de estados-nação.
No entanto, estes esforços e compromissos devem ser acompanhados de uma aplicação de normas internacionais para limitar os ataques cibernéticos associados às nações.–Estados que visam propositadamente as partes da sociedade que permitem que a democracia prospere. A atividade observada da Star Blizzard viola o Quadro da ONU para Comportamento Responsável do Estado On-lineum conjunto claro de normas acordadas por todos os estados membros da ONU para evitar que os seus territórios sejam utilizados para atividades on-line maliciosas. Ao tomar medidas contra a Star Blizzard, a Microsoft e os seus parceiros estão a reforçar a importância destas normas acordadas internacionalmente e a demonstrar um compromisso com a sua aplicação, com o objetivo de proteger a sociedade civil e defender o Estado de direito no ciberespaço.