Microsoft сорвала кибероперацию APT28

Компания «угнала» несколько подконтрольных группировке доменов.

Как сообщает компания Microsoft, прошлой ночью ей удалось успешно сорвать кибероперацию группы APT28 (она же Fancy Bear и Strontium), связываемой с российскими спецслужбами. По словам главы Microsoft Брэда Смита, подразделение компании по борьбе с киберпреступностью выполнило предписание суда, обязывающее захватить контроль над шестью доменами, используемыми хакерами. Список доменов: my-iri.org

hudsonorg-my-sharepoint.com

senate.group

adfs-senate.services

adfs-senate.email

office365-onedrive.com

Первый домен хакеры, очевидно, выдавали за сайт, принадлежащий Международному республиканскому институту, а второй – за сайт американской исследовательской организации Hudson Institute. Остальные четыре домена APT28 пыталась выдать за часть IT-инфраструктуры Сената США.

Судя по всему, вышеупомянутые домены являлись частью операции по рассылке писем для целенаправленного фишинга. Специалистам Microsoft удалось перехватить контроль над ними до того, как преступники успели ими воспользоваться.

Это уже двенадцатый случай использования судебного ордера для «угона» доменов, предположительно подконтрольных APT28. По словам Смита, за последние два года компании удалось перехватить 84 домена из инфраструктуры группировки.

Как сообщает агентство «Интерфакс», Россия отрицает какую-либо причастность к атакам на американские организации. «О ком именно идет речь, что является доказательствами и на основании чего делаются выводы такой категории, мы не понимаем, такие данные отсутствуют» –сообщил агентству пресс-секретарь президента РФ Дмитрий Песков.

Международный республиканский институт – некоммерческая организация, провозглашающая своей целью оказание помощи отдельным странам в строительстве демократии. Работает в тесном сотрудничестве с Государственным департаментом США и некоторыми фондами, занимающимися финансированием про-американских политических сил в мире.