Microsoft a réussi à perturber les attaques contre des cibles ukrainiennes coordonnées par le groupe de piratage russe APT28 après avoir supprimé sept domaines utilisés comme infrastructure d’attaque.
Strontium (également suivi sous le nom de Fancy Bear ou APT28), lié au service de renseignement militaire russe GRU, a utilisé ces domaines pour cibler plusieurs institutions ukrainiennes, y compris des médias.
Les domaines ont également été utilisés dans des attaques contre des institutions gouvernementales américaines et européennes et des groupes de réflexion impliqués dans la politique étrangère.
« Le mercredi 6 avril, nous avons obtenu une ordonnance du tribunal nous autorisant à prendre le contrôle de sept domaines Internet que Strontium utilisait pour mener ces attaques », a déclaré Tom Burt, Corporate Vice President of Customer Security & Trust chez Microsoft.
« Nous avons depuis redirigé ces domaines vers un gouffre contrôlé par Microsoft, ce qui nous permet d’atténuer l’utilisation actuelle de ces domaines par Strontium et d’activer les notifications aux victimes.
« Nous pensons que Strontium tentait d’établir un accès à long terme aux systèmes de ses cibles, de fournir un soutien tactique à l’invasion physique et d’exfiltrer des informations sensibles. »
Microsoft a également informé le gouvernement ukrainien de l’activité malveillante de Strontium et de l’interruption des efforts visant à compromettre les réseaux des organisations ciblées en Ukraine.
Lié à des piratages ciblant les gouvernements du monde entier
Avant cela, Microsoft déposé 15 autres dossiers contre ce groupe de menaces soutenu par la Russie en août 2018, entraînant la saisie de 91 domaines malveillants.
« Cette perturbation s’inscrit dans le cadre d’un investissement continu à long terme, initié en 2016, visant à engager des actions juridiques et techniques pour saisir les infrastructures utilisées par Strontium. Nous avons mis en place une procédure judiciaire qui nous permet d’obtenir des décisions de justice rapides pour ces travaux », Burt ajoutée.
APT28 opère depuis au moins 2004 pour le compte de l’unité militaire 26165 de la direction principale du renseignement de l’état-major général russe (GRU) 85th Main Special Service Center (GTsSS).
Ses opérateurs sont liés à des campagnes de cyberespionnage ciblant les gouvernements du monde entier, notamment un piratage du Parlement fédéral allemand en 2015 et des attaques contre le Comité national démocrate (DNC) et le Comité de campagne du Congrès démocrate (DCCC) en 2016.
Des membres de cette unité de piratage militaire russe ont été accusés par les États-Unis d’avoir piraté le DNC et le DCCC en 2018, et d’avoir ciblé et piraté des membres individuels faisant partie de la campagne Clinton.
Deux ans plus tard, le Conseil de l’Union européenne a annoncé des sanctions contre plusieurs membres de l’APT28 pour leur implication dans le piratage du Parlement fédéral allemand (Deutscher Bundestag) en 2015.