Koncern Microsoft poinformował na swoim blogu, że przejął kontrolę nad kolejnymi domenami wykorzystywanymi przez Strontium. To grupa hakerska powiąza z rosyjskim wywiadem wojskowym.

Strontium znane jest pod kilkoma nazwami, m.in. APT28 (akronim od Advanced Persistent Threat 28, czyli zaawansowane, stałe zagrożenie), Fancy Bear czy Sofacy. Nie jest to jednak marka własna, ale określenia nadawane przez zachodnich analityków nieznanym sprawcom szeregu głośnych włamań i ataków hakerskich.

Eksperci z takich firm, jak Microsoft, CrowdStrike czy ThreatConnect uważają, że chodzi o grupę osób związanych z GRU – rosyjskim wywiadem wojskowym. Analitycy powiązali Strontium m.in. z włamaniami lub próbami włamań do systemów informatycznych wielu zachodnich instytucji krajowych i międzynarodowych, m.in. parlamentu Niemiec, Białego Domu, Banku Światowego, Komisji Europejskiej czy NATO. W ostatnim czasie hakerzy Strontium wzmogli swoją działalność na Ukrainie, w związku z konfliktem wojennym.

Jak można przeczytać we wpisie na blogu Microsoft,

„W ostatnim czasie zaobserwowaliśmy ataki na cele w Ukrainie przeprowadzone przez Strontium, powiązaną z GRU grupę, której poczynania śledzimy od lat. W tym tygodniu udało nam się zakłócić część tych ataków. W środę 6 kwietnia uzyskaliśmy nakaz sądowy, upoważniający nas do przejęcia siedmiu domen wykorzystywanych przez Strontium do przeprowadzania tych ataków”.

Domeny zostały przekierowane do sinkhole’a, czyli na adresy IP kontrolowane przez Microsoft, w celu przechwycenia i przeanalizowania ruchu. Wcześniej Microsoft podejmował podobne działania już piętnastokrotnie, w efekcie firmie udało się przejąć kontrolę nad ponad stoma domenami używanymi przez Strontium.

Zdaniem Microsoft hakerzy powiązani z GRU „próbują ustanowić długoterminowy dostęp do systemów informatycznych swoich celów, by zapewnić taktyczne wsparcie dla inwazji zbrojnej, a jednocześnie wykradają wrażliwe dane”. Koncern poinformował władze Ukrainy o wykrytej aktywności i podjętych krokach.

Aktywność Strontium to tylko jedno z wielu cyberzagrożeń pochodzących ze Wschodu. W marcu białoruska grupa hakerska Ghostwriter zaatakowała konta polskiego rządu i polskich instytucji wojskowych, o czym poinformowali eksperci Google.

Tagi: APT28, Fancy Bear, GRU, hakerzy, Microsoft, Rosja, Sofacy, Strontium, Ukraina