Компанія Microsoft видалила сім доменів, якими російська група хакерів APT28 користувалася для кібератак. Таким чином вона зірвала атаки проти України, які координувала ця група. Хакери Strontium, також відомі як Fancy Bear чи APT28, працюють з російським Головним розвідувальним управлінням (ГРУ). Вони використовували домени для атак на численні українські організації, в тому числі й медіа. 

«У середу 6 квітня ми отримали рішення суду, що дозволило встановити контроль над сімома доменами Strontium, які використовувалися для атак», – повідомив Том Берт, корпоративний віцепрезидент з безпеки та довіри клієнтів у Microsoft. 

У компанії вважають, що Strontium збиралися встановити довгостроковий доступ до систем, на які планувалась атака, надати тактичну підтримку фізичному вторгненню Росії та вилучити конфіденційну інформацію. Microsoft також попередила уряд України про зловмисну діяльність хакерів та зірвані спроби скомпроментувати українські організації, на які планувалась атака. 

Раніше Microsoft подавала 15 позовів проти іншого групування, яке підтримувала Росія. Це призвело до захоплення 91 шкідливого домену. 

«Цей зрив атаки – частина довгострокової інвестиції. Її розпочали у 2016 році, щоб вжити технічних і юридичних заходів для захоплення інфраструктури, яку використовує Strontium. Ми створили юридичний процес, який дозволяє нам швидко отримувати судові рішення щодо цієї роботи», – додає Том Берт.  

Крім атак на Україну, видалені домени APT28 також використовували для нападів на урядові інституції США та ЄС, і аналітичні центри, причетні до зовнішньої політики. Хакерська група працює як мінімум з 2004 року від імені російського ГРУ. Вона пов’язана з кібершпигунством за урядами по всьому світі. В тому числі APT28 відповідальна за злам німецького Бундестагу у 2015 році, хакерські атаки на американські структури у 2018 році та на окремих членів президентської кампанії Гілларі Клінтон. ЄС вже накладав санкції на численних учасників групування через їхню участь в атаці на Бундестаг.