Microsoft heeft bekendgemaakt dat het vorige week zes domeinnamen heeft overgenomen die zouden toebehoren aan een groep staatshackers die bekendstaan als Fancy Bear, Strontium of APT28. Sommige domeinen hebben namen gerelateerd aan politieke doelwitten.
Overgenomen domeinen: |
my-iri.org |
hudsonorg-my-sharepoint.com |
senate.group |
adfs-senate.services |
adfs-senate.email |
office365-onedrive.com |
Microsoft schrijft dat zijn Digital Crimes Unit de domeinnamen heeft overgenomen via een gerechtelijk bevel. Die aanpak is niet nieuw en is door Microsoft in de afgelopen twee jaar naar eigen zeggen twaalf keer met succes ingezet om in totaal 84 sites van de hackergroep offline te halen. In het huidige geval gaat het om domeinnamen die lijken op bepaalde namen, zoals het International Republican Institute, dat zich richt op de ontwikkeling van democratie, en het Hudson Institute, een denktank. Enkele andere domeinen verwijzen naar de Amerikaanse Senaat.
Microsoft zegt dat de domeinen indicatief zijn voor een verbrede doelgroep van Fancy Bear, maar dat het geen bewijs heeft dat ze daadwerkelijk gebruikt zijn voor een succesvolle aanval. Een aanval zou bijvoorbeeld kunnen bestaan uit doelwitten naar de domeinen doorsturen voor phishing, of het inzetten van de domeinen voor gerichte phishing-e-mails. Microsoft noemt deze mogelijkheden zelf niet expliciet. Het bedrijf is in contact geweest met het International Republican Institute en het Hudson Institute om vervolgstappen te nemen.
Microsoft schrijft: "Ondanks de stappen die we afgelopen week hebben ondernomen zijn we bezorgd over de aanhoudende activiteiten gericht op verkozen functionarissen, politici, politieke groepen en denktanks op het politieke spectrum in de VS. Samengenomen komt het huidige patroon overeen met hetgeen we zagen voor de Amerikaanse verkiezingen in 2016 en de Franse verkiezingen in 2017." De VS maakt zich momenteel op voor de zogenaamde Midterm Elections, die plaatsvinden in november. Daarbij gaat het onder meer om de plaatsen in het Huis van Afgevaardigden en een deel van de Senaat.
Met de verwijzing naar de Franse verkiezingen doelt Microsoft waarschijnlijk op de phishingaanvallen op de Macron-campagne, die eveneens werden toegeschreven aan Fancy Bear. Dat is dezelfde groep die ook verantwoordelijk werd gehouden voor de hack op de Democratische partij in 2016. Voor die hacks heeft de Amerikaanse speciaal aanklager Robert Mueller onlangs dertien Russen aangeklaagd, die in dienst zouden zijn van de Russische militaire inlichtingendienst GROe.
Samen met de huidige bekendmaking kondigt Microsoft de officiële start van het zogenaamde AccountGuard-initiatief aan. Dat is een uitbreiding van zijn eerder aangekondigde Defending Democracy-programma, waarmee het onder meer politieke partijen tegen internetaanvallen wil beschermen en desinformatiecampagnes wil tegengaan. AccountGuard is bedoeld voor alle verkiesbare personen in lokale, federale en statelijke verkiezingen, net als de campagnes van leden van het Congres en ondersteunende bedrijven en organisaties. Die moeten dan wel al over Office 365 beschikken.
AccountGuard biedt threat detection voor e-mailsystemen en accounts, waarmee aanvallen gedetecteerd moeten worden. Daarnaast krijgen deelnemende organisaties voorlichting over beveiliging en kunnen ze toegang krijgen tot previews van beveiligingsfuncties die volgens Microsoft normaal gesproken zijn weggelegd voor grote zakelijke klanten en overheden.