Microsoft sluit domeinen af die verband houden met aanvallen op Oekraïne
Microsoft heeft een recente blogpost gepubliceerd, waarin wordt geïnformeerd over de acties die het bedrijf heeft ondernomen om de activiteit van een "Russische natiestaatacteur" die zich op entiteiten in Oekraïne richtte, te verstoren.
In de blogpost wordt de betrokken dreigingsactor specifiek genoemd als de entiteit die Microsoft "Strontium" noemt. Dezelfde dreigingsactor is bekend onder een aantal andere namen, die door verschillende infosec-experts en -organisaties worden gebruikt.
Strontium en zijn vele gezichten
Of ze nu Strontium, Fancy Bear of Sofacy heten, en misschien het best bekend als APT28, de actieve aanhoudende bedreigingsacteur in kwestie heeft een deel van zijn infrastructuur laten verwijderen na de inspanningen van Microsoft.
De techgigant kon dit doen door eerst een gerechtelijk bevel te verkrijgen, waardoor Microsoft de volledige controle kreeg over zeven verschillende domeinen. Volgens de blogpost gebruikten de dreigingsactoren bij Strontium die domeinen om cyberaanvallen op Oekraïense entiteiten uit te voeren.
Naast de aanvallen op Oekraïense doelen, verklaarde Microsoft dat Strontium de domeinen ook gebruikte voor aanvallen op "overheidsinstellingen en denktanks", zowel in de VS als in de Europese Unie. Volgens Microsoft was het doel van de dreigingsactor om een onopvallende, aanhoudende voet aan de grond te krijgen binnen die entiteiten en langdurige spionage uit te voeren, om de Russische militaire campagne in Oekraïne te ondersteunen.
Microsoft vecht sinds 2016 tegen Strontium
Dit is de laatste golf in een lange reeks soortgelijke activiteiten van Microsoft. Volgens de post begon de campagne om de activiteit van Strontium tegen te gaan al in 2016 en deze laatste verwijdering die zeven domeinen trof, was de vijftiende keer dat zoiets plaatsvond.
De domeinen die in deze laatste push door Microsoft zijn overgenomen, werden omgeleid naar een sinkhole die wordt beheerd en beheerd door Microsoft, waardoor ze elke kwaadaardige activiteit waarvoor de domeinen werden gebruikt, konden neutraliseren.
De oorlog in Oekraïne ging gepaard met verschillende golven van cyberaanvallen gericht op verschillende instellingen en systemen in Oekraïne met verschillende soorten destructieve malware.