微软已成功占领了由俄罗斯军事情报部门运营的国家资助组织 APT28 使用的域,以针对乌克兰的机构。
这家科技巨头在周四的一篇博客文章中表示,Strontium——微软对 APT28 或“Fancy Bear”的绰号,一个与俄罗斯 GRU 有联系的黑客组织——使用这些域名针对多个乌克兰机构,包括媒体组织以及政府机构,并认为坦克参与美国和欧洲的外交政策。
“我们认为 Strontium 正试图建立对其目标系统的长期访问权限,为物理入侵提供战术支持并泄露敏感信息,”微软负责客户安全的副总裁 Tom Burt 说。
微软表示,它于 4 月 6 日获得了一项法院命令,授权该公司控制 APT28 用来进行网络攻击的七个域。 “我们已经将这些域重新定向到由 Microsoft 控制的沉洞,使我们能够减轻 Strontium 当前对这些域的使用并启用受害者通知,”Burt 补充道。 “我们已经将我们发现的活动和我们采取的行动通知了乌克兰政府。”
这一行动是微软对俄罗斯国家支持的黑客组织的更广泛调查的一部分,该调查始于 2016 年。微软近年来已获得多项法院判决,以查封 APT28 使用的基础设施。迄今为止,微软已针对俄罗斯支持的威胁组织提起了 15 起其他诉讼,导致扣押了 100 多个由俄罗斯间谍控制的恶意域。
至少自 2009 年以来,俄罗斯支持的黑客组织就一直活跃,主要针对全球媒体、军事、安全组织和政府,包括 2015 年对德国联邦议会的黑客攻击和 2016 年对民主党全国委员会的攻击。
APT28 还与最近对美国卫星通信提供商 Viasat的网络攻击有关,该事件引发了中欧和东欧的卫星服务中断。 SentinelOne 最近的一份报告称,这次攻击可能是破坏性擦除恶意软件的结果,该恶意软件与VPNFilter 恶意软件有相似之处,后者感染了全球数以千计的家庭和小型企业路由器和网络设备。 2018 年,FBI 将 VPNFilter 操作归咎于 APT28。
微软的 Burt 表示,APT28 的攻击“只是我们在乌克兰看到的活动的一小部分”,并补充说,该公司“观察到几乎所有的俄罗斯民族国家行为者都参与了对乌克兰政府的持续全面攻势,并批评基础设施。”
就在FBI 表示已经摧毁了一个同样由 GRU 运行的大型僵尸网络之后几天,微软的域名被查封。
阅读更多:
来源: https://techcrunch.com/2022/04/08/microsoft-seizes-domains-russia-fancy-bear/