Microsoft a saisi sept domaines appartenant à Strontium, également connu sous le nom de Fancy Bear ou APT28, un groupe de piratage russe lié à l’agence de renseignement militaire du pays, a annoncé la société dans un article de blog (via TechCrunch). Selon Microsoft, des espions russes ont utilisé ces sites pour cibler les médias ukrainiens, ainsi que des groupes de réflexion sur la politique étrangère et des institutions gouvernementales situées aux États-Unis et dans l’Union européenne.
Microsoft a obtenu une ordonnance du tribunal pour prendre le contrôle de chaque domaine le 6 avril. Il les a ensuite redirigés vers un gouffre ou un serveur utilisé par des experts en cybersécurité pour capturer et analyser les connexions malveillantes. La société affirme avoir saisi plus de 100 domaines contrôlés par Fancy Bear avant ce dernier retrait.
“Nous pensons que Strontium tentait d’établir un accès à long terme aux systèmes de ses cibles”
“Nous pensons que Strontium tentait d’établir un accès à long terme aux systèmes de ses cibles, de fournir un soutien tactique à l’invasion physique et d’exfiltrer des informations sensibles”, a déclaré Tom Burt, vice-président de Microsoft chargé de la sécurité et de la confiance des clients. “Nous avons informé le gouvernement ukrainien de l’activité que nous avons détectée et des mesures que nous avons prises.”
Ce groupe de piratage particulier a une longue histoire de tentatives d’interférer avec l’Ukraine et les États-Unis. Fancy Bear était lié à des cyberattaques contre le Comité national démocrate en 2016 et visait les élections américaines en 2020.
L’invasion de l’Ukraine par la Russie n’a fait qu’exacerber les cyberattaques de Fancy Bear et d’autres acteurs malveillants. Le mois dernier, Google a déclaré que Fancy Bear et le groupe de piratage biélorusse Ghostwriter avaient mené une attaque de phishing visant des responsables ukrainiens et des membres de l’armée polonaise. Des pirates informatiques parrainés par l’État russe ont également été accusés d’avoir piraté un service satellite européen au début de l’invasion russe de l’Ukraine, ainsi que d’avoir ciblé des sous-traitants américains de la défense en février. On ne sait pas si Fancy Bear était derrière l’une ou l’autre attaque.