Microsoft взяла під контроль домени, пов'язані з російською хакерською групою Strontium/ Fancy Bear

Microsoft заявила, що взяла під контроль сім інтернет-доменів, пов'язаних із спонсорованою державою російською хакерською групою, яка активно атакувала сайти та компанії в Україні.

Метою знезкодження була російська хакерська група Strontium, також відома як APT28 і Fancy Bear. Раніше Microsoft вже видаляла домени, пов’язані з групою, у 2018 році.

Блокування останніх доменів, якими користується Fancy Bear, почалося з ухвали суду 6 квітня. Ухвала суду дозволила Microsoft отримати контроль над інтернет-доменами, які використовувала хакерська група. Отримавши контроль над доменами, Microsoft перенаправила ці домени на так звану «провалу», що дозволило Microsoft пом’якшити атаки та ввімкнути сповіщення жертв.

Як повідомляється, хоча домени використовувалися для націлювання на українські установи, включаючи ЗМІ, атаки Strontium не обмежувалися Україною. Microsoft зазначила, що хакерська група також була спрямована на урядові установи та аналітичні центри в США та Європи, які займалися зовнішньою політикою.

Microsoft вважає, що Strontium має довгострокову мету – встановити доступ до систем своїх цілей, щоб забезпечити тактичну підтримку фізичного вторгнення в Україну та вилучення конфіденційної інформації.

«Цей крок є частиною поточної довгострокової інвестиції, розпочатої у 2016 році, щоб вжити юридичних та технічних заходів для захоплення інфраструктури, яка використовується Strontium», – сказав у блозі Том Берт (Tom Burt), корпоративний віце-президент із безпеки клієнтів і довіри в Microsoft. - «Ми запустили юридичний процес, який дає змогу швидко отримувати судові рішення щодо цієї роботи. До цього тижня ми вживали заходів у рамках цього процесу 15 разів, щоб захопити контроль над понад 100 контрольованими Strontium доменами».

У липні минулого року Агентство національної безпеки США, Агентство кібербезпеки та інфраструктури Департаменту внутрішньої безпеки, Федеральне бюро розслідувань і Національний центр кібербезпеки Великобританії попередили, що хакерська група проводить кампанію грубих атак, щоб отримати доступ до мереж і вкрасти дані.

Було виявлено, що Fancy Bear/Strontium використовує кластер Kubernetes для здійснення широкомасштабних, поширених та анонімних спроб доступу до сотень державних та приватних об’єктів по всьому світу. Кампанія в основному була націлена на організації, які використовують хмарні служби Microsoft 365, а також на інших постачальників послуг і локальні сервери електронної пошти, які використовують різноманітні протоколи.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365