Microsoft がロシアの軍事サイバー・スパイ APT28 のドメインをダウンさせた

Microsoft takes down APT28 domains used in attacks against Ukraine

2022/04/07 BleepingComputer — Microsoft は、ロシアのハッキング・グループ APT28 が組織したウクライナ攻撃の阻止に成功し、攻撃インフラとして使用されていた7つのドメインをダウンさせた。ロシアの軍事情報機関 GRU と連携する Strontium (別名:Fancy Bear/APT28) は、これらのドメインを使用して、ウクライナのメディアなどの組織を標的にしていた。また、これらのドメインは、米国や奥州の政府機関/外交政策に関わるシンクタンクへの攻撃でも使用されていた。

Microsoft の VP of Customer Security & Trust である は、「4月6日の水曜日に、一連の攻撃で Strontium が使用していた、7つのインターネット・ドメイン管理権の取得を認める、裁判所命令を取得した。その後に、これらのドメインを Microsoft 管理するシンクホールに移管し、Strontium が使用しているドメイン使用を緩和し、被害者への通知を可能にした」と述べている。

Tom Burt は、「Strontium は、ターゲット・システムへの長期的なアクセスを確立し、物理的な侵略のための戦術的なサポートを提供し、機密情報の流出を試みたと考えている。さらに Microsoft は、Strontium の悪質な活動について、また、ウクライナで標的にされた組織のネットワークへの侵害を中断できたことについて、ウクライナ政府に通知した」と付け加えている。

世界各国の政府を標的としたハッキングに連動

2018年8月にも Microsoft は、このロシアを後ろ盾とする脅威グループに対して 15件の訴訟を起こし、91件の悪意のドメインの押収に至っていた。Tom Burt は、「今回の破壊は、2016年に開始した Strontium インフラの押収のための、法的/技術的な措置をとるための継続的な長期投資の一部である。私たちは、この作業のために、迅速な裁判所の決定を得ることが可能な法的プロセスを確立している」と付け加えた。

この APT28 は、ロシアの参謀本部主席情報局 (GRU) の 第85特別サービス・センター (GTsSS) 軍事ユニット26165 に代わり、2004年頃から活動を続けていた。

その運営者は、2015年のドイツ連邦議会のハッキングや、2016年の米民主党全国委員会 (DNC) および、民主党議会選挙委員会 (DCCC) に対する攻撃などの、世界中の政府を標的としたサイバー・スパイ・キャンペーンに関係している。

このロシア軍のハッキング部隊のメンバーは、2018年に DNC と DCCC をハッキングし、クリントン・キャンペーンの個々のメンバーを標的にハッキングしたとして、米国から起訴されている。その2年後に、欧州連合理事会は、2015年のドイツ連邦議会 (Deutscher Bundestag) のハッキングに関与したとして、複数の APT28 メンバーに対する制裁を発表している。

Microsoft によるロシア APT 監視は、2021年10月8日の「Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来」や、2022年2月4日の「ウクライナを標的とするロシアのハッキング・キャンペーン:Microsoft が詳細を公表」、3月1日の「Microsoft が新たなマルウェア FoxBlade を検出:HermeticWiper と同じ?」というふうに、継続して実施され、成果を上げているようです。今回の APT28 は、Strontium であり、Fancy Bear でありなので、とても大きな成果と言えます。ただし、まだまだ、戦いは続きそうです。

%d bloggers like this: