Flere, både i Norge og internasjonalt, har uttrykt overraskelse over at Russland i sin krigføring mot Ukraina ikke har gjennomført det som omtales som store angrep i cyberdomenet. Hva som er hovedårsaken, er ukjent, men flere teorier har blitt fremmet. Dette inkluderer at Ukraina med omfattende vestlig hjelp har greid å avverge de fleste av angrepene, men også at Russland – i frykt for knusende motangrep med støtte fra USA og andre vestlige land – begrenser kraften i cyberangrepene mot Ukraina.
Voldsomme angrep
Microsoft kom torsdag med et blogginnlegg hvor selskapet skriver om noe av forsvarsvirksomheten selskapet utøver for å bistå Ukraina. Ifølge blogginnlegget er det lite som tyder på at Russland holder igjen på denne fronten. Selskapet bruker uttrykket «onslaught», noe som betegner et ekstra voldsomt angrep.
– […] vi har observert at nesten alle de russiske, statlige aktørene deltar i den pågående, fullskala-offensiven mot Ukrainas myndigheter og kritiske infrastruktur, skriver Microsoft. Selskapet lover å komme med en mer omfattende rapport om cyberkrigen i Ukraina i løpet av noen uker.
I blogginnlegget omtaler Microsoft en aksjon selskapet selv har utført mot infrastrukturen til en russisk, statssponset hackergruppe selskapet kaller for Strontium. Ifølge Wikipedia er dette den samme gruppen som er mer kjent under navn som Fancy Bear og Sandworm.
Sendt til synkehull
Microsofts aksjon er ikke av de mest spektakulære, men kan være forstyrrende nok for virksomheten til Strontium.
På onsdag denne uken innhentet Microsoft en rettsordre som ga dem tillatelse til å ta kontroll over sju domener på internett. Domenene skal nå være omdirigert til et «synkehull» som Microsoft kontrollerer.
Kaster ut russiske utviklere
Påvirkning og spionasje
De sju domenene skal ha blitt brukt av Strontium til blant annet å angripe ukrainske institusjoner, inkludert mediehus. I tillegg ble de brukt i angrep mot offentlige institusjoner og utenriksorienterte tenketanker i både USA og EU.
– Vi mener Strontium forsøkte å etablere langsiktig tilgang til systemene til disse målene for å skaffe taktisk støtte til den fysiske invasjonen og å hente ut følsom informasjon, melder Microsoft.
Dette er langt fra første gang Microsoft tar kontrollen over domenenavn brukt av Strontium. Siden 2016 har selskapet gjort dette hele 15 ganger. Til sammen skal selskapet ha overtatt mer enn hundre domenenavn.
Selv om Strontium-gruppen med alle sine kallenavn kanskje er den mest kjente av de russiske, statssponsede trusselaktørene, skriver Microsoft at gruppens angrep bare utgjør en liten del av den aktiviteten selskapet har sett i Ukraina.
Cloudflare: – Dette er det kraftigste angrepet noensinne