微软和美国破坏俄罗斯网络间谍基础设施

美国司法部 (DoJ) 与微软和民间社会伙伴合作，关闭了与俄罗斯情报相关黑客组织“卡利斯托集团（Callisto Group）”或“星空暴雪（Star Blizzard）”有关的 100 多个互联网域名。

此次联合行动标志着我们在打击过去两年针对美国政府实体、民间社会团体、记者和其他组织的复杂鱼叉式网络钓鱼活动方面迈出了重要一步。

2024 年 10 月 3 日，美国司法部宣布公布一项授权扣押俄罗斯情报人员用于进行网络攻击的 41 个互联网域名的搜查令。

这些域名据称由卡利斯托集团（微软将其称为“Star Blizzard”）控制，用于鱼叉式网络钓鱼活动，窃取美国实体的敏感信息。

该搜查令符合国家网络安全战略，强调公私合作以应对国家支持的网络威胁。

与此同时，微软发起了一项民事诉讼，以查封同一组织使用的另外 66 个域名。

正如助理司法部长马修·奥尔森 (Matthew G. Olsen) 所指出的那样，与微软等私营部门实体的协调努力体现了对新兴网络威胁的战略应对。

据信，星空暴雪隶属于俄罗斯联邦安全局 (FSB) 18 中心。

自 2017 年以来，星空暴雪一直积极参与网络间谍活动，尤其是使用鱼叉式网络钓鱼技术诱骗受害者透露凭证并获取受保护系统的访问权限。

他们的目标是在 2023 年 1 月至 2024 年 8 月期间确定的，包括记者、智库、非政府组织、前美国情报界雇员、国防部和国务院工作人员、军事国防承包商和能源部员工等 30 多个民间社会实体。

2023 年 12 月，美国司法部对两名涉嫌与卡利斯托有关的行为者 Ruslan Aleksandrovich Peretyatko 和 Andrey Stanislavovich Korinets 提出指控，指控他们代表俄罗斯政府入侵美国、英国、其他北约国家和乌克兰的网络。

除了域名扣押工作外，微软的数字犯罪部门 (DCU)还观察到了星空暴雪的大规模鱼叉式网络钓鱼活动，并注意到该组织能够随着时间的推移调整其策略。

自 2023 年 1 月以来，微软报告称 Star Blizzard 针对 82 名客户发送了旨在窃取电子邮件凭据的网络钓鱼电子邮件。

这些电子邮件经过精心制作，看起来合法，增加了成功窃取凭据的可能性。

数字权利倡导组织 Access Now 也参与了此次联合行动。

它提交了法律声明，支持微软的民事诉讼，并提供了受黑客行动影响的俄罗斯民间社会受害者的证据。

Access Now 一直通过其数字安全帮助热线积极支持星空暴雪针对的个人和组织，并警告称，尽管该组织的活动多次曝光，但其行动并未停止。

2024 年 8 月，Access Now 与多伦多大学公民实验室合作发表了一项调查，揭露了星空暴雪的网络钓鱼活动如何专门针对俄罗斯和白俄罗斯的非营利组织、独立媒体以及活跃于东欧的国际非政府组织。

该报告发布后，更多受害者向其寻求支持。

Access Now 的新闻稿

https://www.accessnow.org/press-release/civil-society-help-take-down-phishing-infrastructure/

Microsoft 的博客文章

https://blogs.microsoft.com/on-the-issues/2024/10/03/protecting-democratic-institutions-from-cyber-threats/

美国司法部的新闻稿

https://www.justice.gov/opa/pr/justice-department-disrupts-russian-intelligence-spear-phishing-efforts

Access Now 的研究报告

https://citizenlab.ca/2024/08/sophisticated-phishing-targets-russias-perceived-enemies-around-the-globe/