Firma Microsoft przerwała ataki na cele ukraińskie koordynowane przez rosyjską grupę hakerską APT28. Z sieci zniknęło siedem domen wykorzystywanych jako infrastruktura cyberprzestepców.
Grupa Strontium (znana również jako Fancy Bear lub APT28), powiązana z rosyjskim wywiadem wojskowym GRU, wykorzystywała te domeny do ataków na wiele ukraińskich instytucji, w tym na media. Domeny te były również wykorzystywane w atakach na instytucje rządowe USA i UE oraz ośrodki analityczne zajmujące się polityką zagraniczną.
W środę, 6 kwietnia, otrzymaliśmy nakaz sądowy upoważniający nas do przejęcia kontroli nad siedmioma domenami internetowymi, których Strontium używało do przeprowadzania tych ataków – powiedział Tom Burt, wiceprezes ds. bezpieczeństwa w firmie Microsoft.
Od tego czasu przekierowaliśmy te domeny do sinkhole’a kontrolowanego przez Microsoft, co pozwoliło nam ograniczyć bieżące ich wykorzystanie przez Strontium i umożliwić powiadamianie ofiar.
Uważamy, że Strontium próbowało uzyskać długoterminowy dostęp do systemów swoich celów, zapewnić wsparcie taktyczne dla inwazji fizycznej oraz eksfiltrować poufne informacje.
Microsoft powiadomił również rząd Ukrainy o niebezpiecznej aktywności Strontium i przerwaniu wysiłków mających na celu narażenie na szwank sieci organizacji w kraju.
To nie pierwsza operacja firmy Microsoft przeciwko APT28
To jest część trwającej długoterminowej inwestycji, rozpoczętej w 2016 roku, mającej na celu podjęcie działań prawnych i technicznych w celu przejęcia infrastruktury wykorzystywanej przez Strontium. Ustanowiliśmy proces prawny, który umożliwia nam uzyskiwanie szybkich decyzji sądowych dla tego zadania – dodał Burt.
APT28 działa co najmniej od 2004 r. z ramienia jednostki wojskowej 26165 Głównego Zarządu Wywiadowczego Sztabu Generalnego Rosji (GRU) 85 Głównego Ośrodka Służb Specjalnych (GTsSS).
Jej operatorzy są powiązani z kampaniami cyberszpiegowskimi wymierzonymi w rządy na całym świecie, w tym z włamaniem do niemieckiego parlamentu federalnego w 2015 roku oraz atakami na Demokratyczny Komitet Narodowy (DNC) i Demokratyczny Komitet Kampanii Kongresowej (DCCC) w 2016 roku.
Członkowie tej rosyjskiej wojskowej jednostki zostali oskarżeni przez USA o włamanie do DNC i DCCC w 2018 r. oraz o namierzanie i włamywanie się do urządzeń poszczególnych członków kampanii prezydenckiej Hillary Clinton.
Dwa lata później Rada Unii Europejskiej ogłosiła sankcje wobec wielu członków APT28 za ich udział w włamaniu do niemieckiego parlamentu federalnego (Deutscher Bundestag) w 2015 roku.
Źródło: BleepingComputer
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.