Strontium (hay Fancy Bear, APT28) sử dụng các tên miền để nhằm vào các tổ chức tại Ukraine, bao gồm cơ quan báo chí. Tên miền cũng được dùng để tấn công các tổ chức chính phủ và tổ chức khác về chính sách đối ngoại tại Mỹ, EU.

 

Tom Burt, Phó Chủ tịch Bảo mật và Niềm tin khách hàng tại Microsoft, cho biết, vào ngày 6/4, họ xin được lệnh tòa án, ủy quyền cho công ty kiểm soát 7 tên miền của Strontium. Sau đó, Microsoft đã chuyển hướng các tên miền này đến một máy chủ của mình để giảm việc sử dụng tên miền của tin tặc và thông báo cho nạn nhân.

Công ty tin rằng Strontium đang muốn thiết lập truy cập lâu dài vào các hệ thống mục tiêu, nhằm hỗ trợ chiến thuật cho hoạt động xâm nhập vật lý và trích xuất thông tin nhạy cảm. Họ cũng đã thông báo cho chính quyền Ukraine về hành vi của Strontium.

Hồi tháng 8/2018, Microsoft đã nộp 15 hồ sơ khác liên quan đến nhóm tin tặc APT28, dẫn đến tịch thu 91 tên miền độc hại. Theo ông Burt, từ năm 2016, công ty đã bắt đầu đầu tư vào các hành động pháp lý và kỹ thuật để tịch thu hạ tầng của Strontium. Hãng tạo quy trình pháp lý để có thể xin quyết định của tòa án một cách nhanh chóng.

APT28 hoạt động sớm nhất từ năm 2004, gắn với các chiến dịch gián điệp mạng nhằm vào chính phủ toàn cầu, chẳng hạn vụ tấn công Quốc hội Đức năm 2015, Ủy ban Quốc gia Dân chủ (DNC) và Ủy ban Chiến dịch Quốc hội Dân chủ (DCCC) năm 2016. Năm 2018, Mỹ buộc tội các thành viên của APT28 đã tấn công DNC và DCCC, cũng như các thành viên của Chiến dịch Clinton. Năm 2020, Hội đồng Liên minh châu Âu công bố lệnh trừng phạt đối với các thành viên APT28 vì tham gia vụ tấn công Quốc hội Đức năm 2015.

Du Lam (Theo Bleeping Computer)