Grâce à une décision de justice obtenue mercredi, Microsoft révèle avoir mis la main sur sept noms de domaine. Ils étaient utilisés dans le cadre de cyberattaques ciblant l'Ukraine et menées par le groupe Strontium.
Les adresses internet concernées redirigent désormais vers un sinkhole dont Microsoft a le contrôle. Une méthode qui permet de les mettre hors du contrôle des attaquants, et par ailleurs pour dresser la liste et notifier les entités visées.
Strontium est autrement connu en tant que APT28, Fancy Bear, Pawn Storm ou encore Sofacy Group. Ce groupe de cyberespionnage aurait des liens avec le gouvernement de Russie en étant issu du renseignement militaire russe.
Des unités du renseignement militaire russe
" Nous pensons que Strontium tentait d'établir un accès à long terme aux systèmes informatiques de ses cibles, de fournir un soutien tactique pour l'invasion physique et d'exfiltrer des informations sensibles. " Microsoft ajoute que le gouvernement ukrainien a été alerté et informé.
L'infrastructure mise en place par Strontium servait à cibler des institutions ukrainiennes, notamment les médias. Elle a également servi à cibler des institutions gouvernementales et des groupes de réflexion aux États-Unis et dans l'Union européenne qui sont impliqués dans la politique étrangère.
L'annonce de Microsoft intervient juste après celle du démantèlement du botnet Cyclops Blink qui était contrôlé par le groupe Sandworm… qui serait également en lien avec le renseignement militaire russe.
