Microsoft har stängt ned 28 domäner som använts i digitala attacker riktade mot Ukraina. De aktuella domänerna kan alla knytas till samma grupp av ryska hackare, Strontium (även spårat som Fancy Bear eller APT28).

Grupperna, med olika namn, antas alla vara kopplade till Rysslands militära underrättelsetjänst GRU. Domänerna användes också i attacker mot amerikanska och EU:s regeringsinstitutioner och tankesmedjor som är involverade i utrikespolitik.

– Onsdagen den 6 april fick vi ett domstolsbeslut som tillåter oss att ta kontroll över sju internetdomäner som Strontium använde för att utföra dessa attacker. Vi har sedan dess omdirigerat dessa domäner som nu kontrolleras av Microsoft, vilket gör det möjligt för oss att minska Strontiums användning. Vi tror att Strontium försökte etablera långsiktig tillgång till systemen för sina mål, ge taktiskt stöd för den fysiska invasionen och plocka ut känslig information., säger Tom Burt, Corporate Vice President för Customer Security & Trust på Microsoft.

Microsoft meddelade också den ukrainska regeringen om Strontiums skadliga aktivitet och attacker för att störa olika organisationers nätverk i Ukraina.

Microsoft

APT28 har varit verksamt åtminstone sedan 2004 på uppdrag av Rysslands generalstabens huvudunderrättelsedirektorat (GRU) 85:e Main Special Service Center (GTsSS) militärenhet 26165. Operatörerna0 är kopplade till cyberspionagekampanjer riktade mot regeringar över hela världen, inklusive ett hack av det tyska federala parlamentet 2015 och attacker mot den demokratiska nationella kommittén (DNC) och den demokratiska kongressens kampanjkommitté (DCCC) 2016.

Medlemmar av denna ryska militära hackningsenhet har anklagats av USA för att ha hackat DNC och DCCC under 2018, och för att rikta in sig på och hacka enskilda medlemmar i Clinton-kampanjen.

Två år senare tillkännagav Europeiska unionens råd sanktioner mot flera APT28-medlemmar för deras inblandning i 2015 års hack av det tyska förbundsparlamentet (Deutscher Bundestag).