Microsoft hat erfolgreich Domänen beschlagnahmt, die von APT28, einer staatlich geförderten Gruppe, die vom russischen Militärgeheimdienst betrieben wird, verwendet werden, um Institutionen in der Ukraine anzugreifen.
Das teilte der Tech-Riese mit ein Blogbeitrag am Donnerstag dass Strontium – Microsofts Spitzname für APT28 oder „Fancy Bear“, eine mit der russischen GRU verbundene Hackergruppe – die Domains benutzte, um mehrere ukrainische Institutionen anzugreifen, darunter Medienorganisationen sowie Regierungsinstitutionen und Think Tanks, die an der Außenpolitik in den USA und Europa beteiligt sind .
„Wir glauben, dass Strontium versucht hat, langfristigen Zugang zu den Systemen seiner Ziele herzustellen, taktische Unterstützung für die physische Invasion bereitzustellen und vertrauliche Informationen herauszufiltern“, sagte Tom Burt, Vice President für Kundensicherheit bei Microsoft.
Microsoft gab an, am 6. April einen Gerichtsbeschluss erhalten zu haben, der das Unternehmen ermächtigte, die Kontrolle über sieben Domains zu übernehmen, die APT28 für seine Cyberangriffe nutzte. „Seitdem haben wir diese Domains zu einem von Microsoft kontrollierten Sinkhole umgeleitet, was es uns ermöglicht, Strontiums aktuelle Nutzung dieser Domains einzuschränken und Opferbenachrichtigungen zu ermöglichen“, fügte Burt hinzu. „Wir haben die ukrainische Regierung über die von uns festgestellten Aktivitäten und die von uns ergriffenen Maßnahmen informiert.“
Diese Aktion ist Teil einer umfassenderen Microsoft-Untersuchung der staatlich geförderten russischen Hacking-Gruppe, die bereits 2016 begann. Microsoft hat in den letzten Jahren mehrere Gerichtsentscheidungen erwirkt, um die von APT28 genutzte Infrastruktur zu beschlagnahmen. Bis heute hat Microsoft 15 weitere Klagen gegen die von Russland unterstützte Bedrohungsgruppe eingereicht, was zur Beschlagnahme von mehr als 100 bösartigen Domains geführt hat, die von den russischen Spionen kontrolliert werden.
Die von Russland unterstützte Hackergruppe ist seit mindestens 2009 aktiv und zielt hauptsächlich auf Medien, Militär, Sicherheitsorganisationen und Regierungen weltweit ab, einschließlich eines Hacks im Jahr 2015 im Deutschen Bundestag und eines Angriffs auf das Demokratische Nationalkomitee im Jahr 2016.
APT28 wurde auch mit dem jüngsten Cyberangriff auf den US-Satellitenkommunikationsanbieter Viasat in Verbindung gebracht, ein Vorfall, der zu Ausfällen von Satellitendiensten in Mittel- und Osteuropa führte. Einem kürzlich erschienenen SentinelOne-Bericht zufolge war der Angriff wahrscheinlich das Ergebnis einer destruktiven Wiper-Malware, die Ähnlichkeiten mit der VPNFilter-Malware aufweist, die Tausende von Heim- und Kleinunternehmens-Routern und Netzwerkgeräten weltweit infiziert hat. Im Jahr 2018 schrieb das FBI die VPNFilter-Operation APT28 zu.
Burt von Microsoft sagte, dass die Angriffe von APT28 „nur ein kleiner Teil der Aktivitäten sind, die wir in der Ukraine gesehen haben“, und fügte hinzu, dass das Unternehmen „fast alle nationalstaatlichen Akteure Russlands beobachtet hat, die an der laufenden umfassenden Offensive gegen die ukrainische Regierung beteiligt und kritisch sind Infrastruktur.“
Die Beschlagnahmungen von Microsoft-Domänen landen nur wenige Tage, nachdem das FBI bekannt gegeben hat, dass es ein riesiges Botnetz abgeschaltet hat, das ebenfalls von der GRU betrieben wird.
Weiterlesen: