美国与英国反击Callisto集团网络威胁

关键要点

• Callisto集团 被指控代表俄罗斯情报机构 实施多年间谍活动。
• 此团伙攻击了美英两国的组织与个人 ，并涉嫌干预英国政治进程。
• 两名该集团成员 已被制裁，并面临多项网络犯罪指控，美国 提供高达1000万美元 的悬赏以捕获他们。
• 全球网络钓鱼活动 针对政府、媒体及其他组织的邮件账户，旨在获取敏感信息。

美国和英国当局对被称为Callisto集团
的威胁团伙采取了一系列措施，指控其代表俄罗斯情报机构，开展了多年的间谍活动。该组织的其他名称包括Seaborgium、Coldriver、StarBlizzard、TA446和TAG-53。

政府指控这个高级持续威胁（APT） 组织对跨大西洋双方的组织与个人进行有针对性的攻击，并试图干扰英国的政治进程。

美国和英国政府表示，Callisto集团与俄罗斯联邦安全局（FSB）息息相关，特别是其第18网络间谍单位。

行动 | 详情
—|—
制裁 | 国家对两名团伙成员实施制裁
刑事指控 | 同一名成员已被指控多项网络犯罪
悬赏 | 美国国务院提供高达1000万美元的悬赏信息以协助逮捕团伙成员

在一份声明中，美国国务院指出，这一团伙针对美国境内的实体和个人，包括能源部的员工进行了攻击。“受制裁的阴谋者还针对英国官员、智库研究人员和记者，2019年英国选举前，某些信息曾被泄露，”国务院表示。

面临指控和制裁的两名男子是Ruslan Aleksandrovich Peretyatko 及Andrey StanislavovichKorinets （又名Alexey Doguzhiev ），他们均为Callisto集团成员，Peretyatko还是FSB的情报官员。

与此同时，英国政府召见了俄罗斯大使，以表达对FSB长期间谍活动的深切关切。英国外相大卫·卡梅伦
在声明中表示：“通过制裁相关责任人，并召见俄罗斯大使，我们揭露了他们的恶意影响企图，并再次展现出俄罗斯如何在全球舞台上行事。”

全球网络钓鱼活动针对政府和媒体

根据美国财政部的一份声明，FSB自2016年以来发起了针对政府、军事、媒体及其他组织人员邮件账户的全球网络钓鱼活动。这些活动旨在获取目标邮件账户的访问权限，维持对账户及其相关网络的持久访问，并获取敏感信息，以推动克里姆林宫的政策目标。

此次活动包括“黑客泄露行动”，即利用被盗和泄露信息在目标国塑造叙事。

在一份联合网络安全建议中，网络安全和基础设施安全局（CISA）
及其他美国及国际机构概述了Callisto集团入侵目标邮件账户所使用的战术和技巧，以及其随后如何滥用所获取的访问权限。“该活动符合网络钓鱼活动的特点，其中攻击者针对特定个人或团体，使用他们感兴趣的信息，”建议中提到。

Callisto集团使用伪装成目标已知联系人创建邮件账户，以看起来合法。他们还创建虚假社交媒体或网络档案，伪装成受人尊敬的专家，并利用所谓的会议或活动邀请进行诱饵。

一旦邮件账户被攻破，威胁团伙便盗取了敏感电子邮件的内容和联系人列表，并已设立邮件转发规则，以保持对受害者通信的持续访问。

微软的威胁情报团队 发布了新技术的研究，这些技术使得该威胁集团能够逃避侦测，包括使用服务器端脚本防止其Evilginx
服务器的基础设施被自动扫描。APT组还利用电子邮件营销平台服务来隐藏真实发件人地址，并避免在邮件中透露他们所控制的域名基础设施细节。他们还使用DNS提供商来掩盖其控制的虚拟私人服务器（VPS）基础设施的IP地址。

StrikeReady 的首席