Microsoft hoidis ära Vene sõjaväeluure küberrünnaku Euroopas ja USAs (1)

Strontium kasutas hulka domeene Ukraina institutsioonide, sealhulgas meediaorganisatsioonide ründamiseks. Samuti suunati oma jõud välispoliitikaga seotud USA ja Euroopa Liidu valitsusasutustele ja mõttekodadele.

Strontium üritas Microsofti blogipostituse andmetel luua pikaajalist juurdepääsu oma sihtmärkidele, et välja filtreerida tundlikku infot. Selleks kasutati teatud domeene ehk internetiaadresse.

Kolmapäeval, 6. aprillil sai Microsoft kohtumääruse loal üle võtta seitse Strontiumi kontrolli all olevat domeeni, mida rünnakute jaoks kasutati. Domeenid suunati ümber Microsofti kontrollitavasse nn «meepotti», milles jälgitakse nende domeenide poole tehtavaid pöördumisi. Nii on võimalik kindlaks teha, kas mõned küberrünnakud on õnnestunud ja millist infot pahavara nendele domeeniaadressidele saadab. Microsoft plaanib selle põhjal ohvritele teada anda, kui nende süsteemides on pahavara ja kui see hakkab andmeid lekitama.

Seda, kas keegi on juba ohvriks langenud, Microsoft ei avaldanud.

GRUga seostatav Strontium on tuntud veel ka paljude muude nimedega: Fancy Bear, APT28, Pawn Storm, Sofacy Group, Sednit, Tsar Team. Kuna tegemist on juba palju aastaid tegutsenud häkkerirühmaga, siis on erinevad küberturvaettevõtted neile erinevaid nimesid andnud. Grupi sihtmärkideks on NATO ja lääneriikide valitsusasutused, rünnatud on näiteks Saksa ja Norra parlamentide infosüsteeme, Prantsuse telekanalit TV5Monde jt. USA andmetel on tegemist GRU eriüksusega number 26165.

Eelmise aasta juulis üritas grupp nn «toore jõu» meetodil häkkida Microsoft 365 pilveteenustesse ning ka siis õnnestus rünnak ja suurem kahju ära hoida.