Microsoft: meerdere Russische cyberaanvallen zijn onderschept

Microsoft zegt dat het meerdere hackpogingen vanuit Rusland heeft tegengehouden. Volgens het bedrijf probeerden de spionnen in te breken bij Oekraïense en Amerikaanse doelen. Ook enkele EU-instanties zouden een doelwit zijn geweest.

In een blogpost schrijft Microsoft dat Strontium, een hackersgroep die banden heeft met de Russische militaire inlichtingendienst GRU, zeven internetdomeinen heeft gebruikt om overheidsorganen en denktanks in Europa en de Verenigde Staten te bespioneren. Enkele Oekraïense instellingen, waaronder mediaorganisaties, zijn via die domeinen aangevallen, zegt het bedrijf.

Microsoft had woensdag een gerechtelijk bevel gekregen om de domeinen over te nemen. Die heeft deze domeinen omgeleid naar een sinkhole die het bedrijf beheert. Hierdoor kan Strontium de domeinen niet of beperkt gebruiken. Daarna heeft Microsoft de slachtoffers en doelwitten op de hoogte gebracht, waaronder de Oekraïense regering.

"We denken dat Strontium probeerde om langdurig toegang te krijgen tot de systemen van haar doelwitten, tactische ondersteuning wil bieden voor de fysieke invasie van Oekraïne en uit is op gevoelige informatie", schrijft Microsoft.

Welke organisaties en instellingen er precies zijn getroffen, is niet bekend. Ook zegt Microsoft niet welke domeinen zijn gebruikt in Strontiums aanvallen. Het Amerikaanse bedrijf doet sinds 2016 onderzoek naar Strontium. Naar eigen zeggen heeft Microsoft al meer dan honderd domeinen van de Russische hackersgroep overgenomen.

Door Loïs Franx

Redacteur

Feedback • 08-04-2022 12:0836

08-04-2022 • 12:08

36 Linkedin

Lees meer

Autoriteiten Oekraïne en VS nemen negen illegale cryptovalutaplatformen over Nieuws van 2 mei 2023
YouTube blokkeert kanaal Russisch lagerhuis wegens overtreden van voorwaarden Nieuws van 11 april 2022
Chipfabrikant Intel schort activiteiten in Rusland op Nieuws van 6 april 2022
Rusland krijgt eigen alternatief voor Google Play Store Nieuws van 31 maart 2022
Europese Rekenkamer: EU-instellingen onvoldoende voorbereid op cyberaanvallen Nieuws van 29 maart 2022
Meer producten en artikelen
Economie en maatschappij Microsoft Cybercrime Hackers Oorlog Oekraine

Reacties (36)

-Moderatie-faq
36
34
18
3
0
9
Wijzig sortering
wildhagen
8 april 2022 12:20
Strontium is niet de bekendste naam waaronder deze groep opereert. Een veel bekendere naam is Fancy Bear, die hebben al vaker het nieuws gehaald:

- nieuws: Microsoft neemt zes domeinen over die het toeschrijft aan Fancy Bear-...
- nieuws: Google waarschuwt 'relatief grote groep' over phishing door Russische...
- nieuws: NSA en FBI publiceren details over Linux-malware 'van Russische staat...
- nieuws: Microsoft: Rusland en Noord-Korea vallen netwerken van vaccinmakers aan

Etc etc.
Fancy Bear (also known as APT28 (by Mandiant), Pawn Storm, Sofacy Group (by Kaspersky), Sednit, Tsar Team (by FireEye) and STRONTIUM (by Microsoft)) is a Russian cyber espionage group.
De groep is al actief sinds 2004, dus één van de langer lopende hackerscollectieven.

[Reactie gewijzigd door wildhagen op 8 april 2022 12:21]

DigitalExorcist
@wildhagen8 april 2022 13:36
Naast Cozy Bear inderdaad.

Het boek "Het is oorlog, maar niemand die het ziet" is de moeite van het lezen waard. Dat gaat mooi in op hoe dit soort groepen te werk gaan..
Remag22
@DigitalExorcist8 april 2022 14:30
Nou ja, niemand die het ziet. Hadden de Nederlandse diensten niet toegang tot een Camera in hal? :+
DigitalExorcist
@Remag228 april 2022 14:35
Ja, zo ongeveer. Maar dat zag alleen de AIVD ;)
Remag22
@DigitalExorcist8 april 2022 14:45
Prima bewijs dat overheid + ICT geen 100% faal is. Bovendien hebben ze ons later laten meegenieten. :9
svane
8 april 2022 12:28
De VS is sowieso de laatste tijd flink bezig om malware te verwijderen. Dit bericht zal er vast wel mee te maken hebben. Interessant artikel (dat helaas de frontpage van Tweakers niet gehaald heeft).
The court orders allowed the F.B.I. to go into domestic corporate networks and remove the malware, sometimes without the company’s knowledge.
Dubbele gevoelens hierbij. Ik hoop dat ze hierbij de C&C structuur van de malware zelf hebben gebruikt om de malware te wissen, en geen backdoor in Windows etc.

edit:
link vervangen door non-paywall-versie

[Reactie gewijzigd door svane op 8 april 2022 12:56]

batjes
@svane8 april 2022 12:34
Kan die van NYtimes niet lezen, is dat hetzelfde als https://www.security.nl/p...+toestemming+slachtoffers ?
svane
@batjes8 april 2022 12:57
Op 't eerste gezicht lijkt het om hetzelfde/iets vergelijkbaars te gaan. Het artikel is trouwens hier te lezen zonder paywall, ik had niet door dat dat in de weg stond :)
djwice
@svane9 april 2022 11:43
Ik zie meerdere scans per dag per partij van diverse Amerikaanse beveiligingspartijen op alle IPv4 adressen en de onderliggende domeinnamen. De IPv6 space lijkt op dit moment nog buiten schot.

[Reactie gewijzigd door djwice op 9 april 2022 11:46]

Bas Boss
@svane9 april 2022 14:41
Dergelijke acties zijn ook de reden dat de diensten hier meer (of snellere) bevoegdheden willen. Wat mij betreft terecht maar niet iedereen denkt daar zo over.
Maurits van Baerle
8 april 2022 12:32
Op zich zou dit niemand moeten verbazen. Er was al voor gewaarschuwd (Kevin Mandia: We’re braced for the impact of Russian cyber attacks) en ook Meta heeft al aangegeven ook verhoogde activiteit te merken (Russia (still) trying to weaponize Facebook for spying, Ukraine-war disinfo)

Bij Microsoft zal het niet zozeer gaan om de beïnvloeding van publieke opinie, zoals bij Facebook, maar deels om diefstal van vertrouwelijke informatie op MS cloud diensten en algehele disruptie van bedrijven en organisaties.
C. C.
8 april 2022 12:25
Gewoon berechten als internationale terroristen.
We hebben niet alleen een fysiek raketschild nodig maar ook een internetshield. Bij schending van ons internet gewoon geen handel meer drijven.

[Reactie gewijzigd door C. C. op 8 april 2022 12:28]

DigitalExorcist
@C. C.8 april 2022 13:37
De vraag is, is het terrorisme, spionage, zijn het staatshackers of individuele groepen, valt dit onder oorlogsrecht of juist -misdaden, et cetera. Laten we dat éérst eens beantwoorden ;)
beerse
@DigitalExorcist8 april 2022 13:47
Doe vooral geen moeite om dit soort zaken op voorhand uit te zoeken. Dergelijke zaken zijn in de regel 'lost in translation'. Jou definitie van een staatshacker is misschien wel ongeveer de zelfde als die van mij maar ik weet zeker dat het in andere landen, andere volken en andere gewoontes vooral anders geïnterpreteerd wordt.

Als ik zie dat de USA-MOD particuliere "bewakingsbedrijven" in dienst heeft voor het bewaken en beheren van een gevangenis ergens op een USA-vliegveld maar buiten de USA. Dan vind ik dat die mensen in dienst zijn van de USA overheid en onder hun verantwoordelijkheid vallen. Anderen denken daar anders over.

Van de Russische samenleving heb ik wel eens begrepen dat er op bepaalde politieke nivo's alleen maar een wens hoeft te worden uitgesproken en een aantal vrijwillige of particuliere organisaties voeren die wens zonder morren uit.

Ik bedoel: er wordt overal en nergens aan de grenzen van het betamelijke geknabbeld. Helaas wordt er zelfs in de NL politiek niet meer naar de geest van de regels gehandeld maar op de letter van de vraagstelling gelet. (nu ga ik wel heel erg ver buiten het onderwerp, hoe actueel ook).
DigitalExorcist
@beerse8 april 2022 14:33
Maar daarom kan je dus niet stellen dat je "ze" "gewoon" kan berechten als internationale terroristen.

Internationaal ten opzichte van wie? De aangevallene? De woonplaats van de hackers? Het IP waar ze vandaan komen?

Ik doe daar inderdaad geen moeite voor om dat te classificeren, dat mag bijv. de VN doen ;) ik stel alleen dat het een nogal politiek breed spectrum is waar cyberaanvallen onder kunnen vallen.

Dan nog: heeft een aanval een ideologisch, financieel, of terroristisch motief en is het bedoeld om doden te veroorzaken, economische malaise voor burgers of heel specifiek voor bepaalde sectoren en diensten (denk aan Stuxnet destijds, met die atoomreactoren in Iran!).

[Reactie gewijzigd door DigitalExorcist op 8 april 2022 14:34]

HKLM_
@C. C.8 april 2022 13:38
Hoe ga je dat doen dan? Je kan namelijk zonder moeite spoofen dat je uit een ander land komt.
Godson-2
8 april 2022 12:26
Moet ik dan denken aan goedkope phishing mails of is het wat geavanceerders , zoals zero-days?

[Reactie gewijzigd door Godson-2 op 8 april 2022 16:18]

Qalo
8 april 2022 12:33
Sowieso mag iedereen zijn beveiliging opschroeven, gezien de huidige toestand in de wereld. Ik ben een particulier (dûh!) en helemaal niet interessant voor hackers, maar ik heb mijn beveiliging hier toch behoorlijk opgeschroefd. Recentelijk heb ik mijn routers voorzien van de laatste (open source) firmware, en ook de firewall op de routers iets conservatiever ingesteld. En verder op mijn computers en kritieke inlogs op het web voorzien van een veel sterker wachtwoord. En natuurlijk je systemen altijd tijdig updaten.

100% veilig ben je uiteraard nooit, maar ik probeer het wel zo lastig als mogelijk te maken binnen de mogelijkheden die ik heb.

Voor wat betreft bedrijven en overheden: dit is de tijd om serieus iets met security te doen. Ongepatchte systemen, daar zou je nu niet meer mee weg moeten komen. Ik vind dat je als bedrijf of overheid compleet voor lul staat als je dat nu niet op orde hebt (of brengt). En natuurlijk: kritieke software die om welke reden dan ook niet zomaar voorzien kan worden voor een update/upgrade is de regel simpel: deze gewoon niet aan het internet hangen.
prinsvlad
@Qalo8 april 2022 19:40
En hoe heb jij je FW ''conservatiever'' ingesteld dan?. Gewoon nieuwsgierig......

Ik maak bv gebruik van een HFW met de volgende actieve modules :
Zero Day Protection
IPS
Web Protection ( Malware/Spyware/Spam)
Application monitor
Advanced Threat protection
SSL/TLS Decryption

Daarnaast heb ik nog een AdGuardHome instantie draaien voor het onderscheppen van advertenties.
2JVCS
8 april 2022 12:13
Strontium ja
supertanno
@2JVCS8 april 2022 12:16
Ik kan oprecht niet voorbij die naam kijken.
edterbak
@supertanno8 april 2022 12:20
Is gewoon een element in het periodieke systeem.
https://nl.m.wikipedia.org/wiki/Strontium
2JVCS
@edterbak8 april 2022 15:58
Ik neem aan dat elke Tweaker hiervan gewoon op de hoogte is, maar dankjewel voor de aanname dat dit niet het geval is
GameNympho
@supertanno8 april 2022 12:18
" Stront aan de knikker"
Sandor_Clegane
8 april 2022 12:18
Als het strontium de ventilator raakt.
Taipau666
8 april 2022 12:44
Valt dit niet onder een oorlogsdaad?
Ge0force
@Taipau6668 april 2022 13:10
Dat vroeg ik mij ook af. Moest Europa zoiets doen dan zag Poetin dit ongetwijfeld als een oorlogsverklaring.
bdeclerc
@Ge0force8 april 2022 13:59
https://www.reuters.com/b...e-been-hacked-2022-04-06/

Eén van vele gevallen van cyberaanvallen op Russische bedrijven recent. Door overheden? Door privé-hackers? Bewijs het maar eens...
NoThankYou
@Ge0force9 april 2022 00:24
Ik denk dat je er toch goed aan zou doen om daar iets meer aan te twijfelen. Rusland ziet het bijvoorbeeld ook niet als een (letterlijke) oorlogsverklaring als landen allerlei wapens en intelligentie geven aan Oekraïne. De meeste hacks zijn niet serieuzer dan dat.
HoppyF
@Taipau6668 april 2022 13:49
De Russische hackers bedoel je?
Zeker, want zij vallen andere landen aan. Als ze daadwerkelijk in opdracht handelen van een Russische inlichtingendienst is het helemaal foute boel.
Waarom zou je je als hacker hieraan schuldig maken?
Vroeger of later komt men toch wel achter je identities hoe goed of slim je probeert te zijn.
Pt0x
9 april 2022 13:03
Vaak gaan dit soort acties ook gepaard met een internationale operatie die leidt tot inbeslagname van hardware. Daar heb ik in dit geval weinig over gelezen.

Zover ik het begrijp kan men door de sinkhole nu wel traffic van gerelateerde domeinen onderscheppen, maar lijkt de daadwerkelijke c&c infra niet te zijn geconfisqueerd.

Dan is dit toch niet meer dan een speldeprik? Vast wel iemand binnen Fuzzy die toegang heeft tot de servers, fysiek of virtueel en de boel weer kan herstellen?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee