Microsoft schaltet Domänen ab, die mit Angriffen auf die Ukraine in Verbindung stehen
Microsoft hat kürzlich einen Blogbeitrag veröffentlicht, der über die Maßnahmen informiert, die das Unternehmen ergriffen hat, um die Aktivitäten eines „russischen Nationalstaatsakteurs“ zu stören, der es auf Unternehmen in der Ukraine abgesehen hat.
Der Blogbeitrag bezeichnet den fraglichen Bedrohungsakteur ausdrücklich als die Entität, die Microsoft „Strontium“ nennt. Derselbe Bedrohungsakteur ist unter einer Reihe anderer Namen bekannt, die von verschiedenen Infosec-Experten und -Organisationen verwendet werden.
Strontium und seine vielen Gesichter
Unabhängig davon, ob sie Strontium, Fancy Bear oder Sofacy heißen und vielleicht am besten als APT28 bekannt sind, der fragliche Akteur der aktiven, anhaltenden Bedrohung hat nach den Bemühungen von Microsoft einen Teil seiner Infrastruktur abgeschaltet.
Der Technologieriese konnte dies tun, indem er zunächst einen Gerichtsbeschluss erwirkte, der es Microsoft ermöglichte, die vollständige Kontrolle über sieben verschiedene Domains zu übernehmen. Laut dem Blogbeitrag nutzten die Bedrohungsakteure bei Strontium diese Domains, um Cyberangriffe auf ukrainische Unternehmen zu starten.
Zusätzlich zu den Angriffen auf ukrainische Ziele, erklärte Microsoft, nutzte Strontium die Domains auch für Angriffe auf „Regierungsinstitutionen und Denkfabriken“ sowohl in den USA als auch in der Europäischen Union. Laut Microsoft bestand der Zweck des Bedrohungsakteurs darin, unauffällig und dauerhaft in diesen Einheiten Fuß zu fassen und langfristige Spionage durchzuführen, um die russische Militärkampagne in der Ukraine zu unterstützen.
Microsoft kämpft seit 2016 gegen Strontium
Dies ist die jüngste Welle in einer langen Reihe ähnlicher Aktivitäten von Microsoft. Laut dem Beitrag begann die Kampagne zur Bekämpfung der Aktivitäten von Strontium bereits 2016, und diese letzte Deaktivierung, die sieben Domains betraf, war das fünfzehnte Mal, dass so etwas stattfand.
Die von Microsoft übernommenen Domains wurden zu einem von Microsoft kontrollierten und betriebenen Sinkhole umgeleitet, wodurch sie alle böswilligen Aktivitäten, für die die Domains verwendet wurden, neutralisieren konnten.
Der Krieg in der Ukraine wurde von mehreren Wellen von Cyberangriffen begleitet, die verschiedene Arten von zerstörerischer Malware auf verschiedene Institutionen und Systeme in der Ukraine abzielten.