继本周美英政府关闭俄罗斯黑客创建攻击华硕、watchguard设备的基础架构后,微软昨(7)日也宣布再接管俄国黑客组织strontium攻击乌克兰使用的域名。
微软客户安全与信赖部门企业副总裁tom burt指出,在周三取得法院授权命令后,微软接管了strontium用以攻击乌克兰的7个域名。他们相信这群黑客长期访问目标系统,并为俄国实体入侵及资料窃取提供金沙app下载大厅的技术支持。
strontium又名apt 28或fancy bear,据信隶属于俄罗斯情报机关gru下的军事单位。微软关注这个组织多年,其手法包括钓鱼信件窃取情报、暴力破解、密码泼洒(password spray)手法黑入账号,并变换ip及tor服务隐匿其攻击来源。
strontium/fancy bear主要攻击对象包括各国政府、军事及安全组织,受害者遍布全球,从德国议会、法国电视台tv5monde、美国白宫、北约组织到介入美国及法国的总统大选、以及国际运动及反禁药组织等。2018年这个组织也曾攻击50万路由器植入恶意程序,受害者正是乌克兰。
而在今年的乌俄战争中,研究人员相信,strontium/ fancy bear又策划大规模精准钓鱼信件攻击,诱使乌克兰域名ukr.net用户及一家当地媒体员工被导向恶意网站骗取帐密。
微软表示这次行动是微软自2016年以来对抗这组织的计划之一,当时时值美国上一次总统大选,strontium利用windows零时差漏洞对政治团体用户发动攻击。2019年微软也曾接管其域名。微软指出,在本周之前,他们已15次出手,接管了strontium控制的100多个域名。
不过微软指出,strontium/fancy bear只是攻击乌克兰攻击的众多组织之一。他们观察到,几乎所有俄国国家黑客都参与了对乌国政府及关键基础架构的大规模攻击行动。