ウクライナの報道機関などを標的にしたロシアのハッカー集団によるサイバー攻撃をMicrosoftが妨害

2022年4月7日、Microsoftの顧客セキュリティー・トラスト担当ヴァイス・プレジデントであるトム・バート氏が、「ウクライナを標的としたロシアからのサイバー攻撃を混乱させた」というブログを公開しました。今回Microsoftがサイバー攻撃を妨害したのは、ロシア連邦軍参謀本部情報総局(GRU)との関連が指摘されているロシアのハッカー集団「Strontium」だとのことです。

Disrupting cyberattacks targeting Ukraine - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2022/04/07/cyberattacks-ukraine-strontium-russia/

Microsoft takes down APT28 domains used in attacks against Ukraine
https://www.bleepingcomputer.com/news/microsoft/microsoft-takes-down-apt28-domains-used-in-attacks-against-ukraine/

Strontiumは「ファンシーベア」「APT28」「Tsar Team」といった名称でも知られるハッカー集団であり、世界各国のアンチ・ドーピング機関に対する攻撃や、2020年のアメリカ大統領選挙に関する個人や組織への攻撃、新型コロナウイルス感染症(COVID-19)のワクチンや治療法を研究する機関への攻撃などを行ってきました。

Microsoftが「ロシアと北朝鮮が新型コロナワクチン関連の研究組織をハッキングした」と発表 - GIGAZINE

長年にわたりStrontiumの活動を追跡してきたMicrosoftは、最近になってStrontiumがウクライナを標的にしたサイバー攻撃を行っていることを知り、この攻撃を混乱させることにしたそうです。バート氏は、「私たちは4月6日の水曜日に、Strontiumがこれらの攻撃を実行するために使用していた7個のインターネットドメインを管理することを許可する裁判所命令を取得しました。それから、これらのドメインをMicrosoftが管理するDNSシンクホールにリダイレクトすることで、Strontiumによるこれらのドメインの使用を抑制し、被害者に通知することが可能になりました」と述べています。

Microsoftによると、Strontiumのサイバー攻撃は報道機関を含むウクライナの機関を標的にしていたほか、外交政策に関与するアメリカやEUの政府機関やシンクタンクも標的になっていたとのこと。Microsoftは「Strontiumは標的のシステムへの長期的なアクセスを確立することで、物理的な侵略への戦術的支援を提供し、機密情報の流出を試みていたと考えられています」と指摘しており、すでにウクライナ政府にも今回検出したStrontiumの活動や、Microsoftの妨害措置について説明したとのことです。

バート氏は、「今回の妨害は、Strontiumが使用するインフラを押収するための法的・技術的措置を講じた、2016年に始まった継続的な長期投資の一環です。私たちはこの作業のため、迅速な裁判所の決定を得られるようにする法的プロセスを確立しました。今週以前にも、私たちはこのプロセスを通じて15回も行動を起こし、Strontiumが制御する100以上のドメインのコントロールを掌握しました」と述べています。

Microsoftはウクライナ政府およびあらゆる種類の組織と緊密に協力し、ロシアからのサイバー攻撃を防ぐ手助けをしているとのこと。バート氏はブログの中で、「今後数週間のうちに、ウクライナにおけるサイバー戦争について、より包括的な見解を提供する予定です」と述べました。