Microsoft advarer om cyberangreb mod Ukraine og EU

8. april kl. 09:366
Microsoft-bygning.
Illustration: Coolcaesar/Wikimedia Commons.
Myndigheder, tænketanke og medier var målet for russiske hackere, der forsøgte at tvinge sig adgang til organisationernes it-systemer.
Artiklen er ældre end 30 dage

Microsoft har afbødet cyberangreb mod Ukrainske, EU og amerikanske mål fra den russiske hackergruppe Strontium – der også går under navnet Fancy Bear – og som har tråde til det russiske militærs efterretningstjenese kaldet GRU. 

Det skriver Reuters på baggrund af en blog post fra Microsoft.

Læs også: Engelsk butikskæde hårdt ramt af cyberangreb: Måtte lukke butikker ned

Det er endnu uvist, hvilke mål det konkret drejer sig om, men det tæller ifølge Microsoft myndigheder og tænketanke i EU og USA og ukrainske medieorganisationer.

Artiklen fortsætter efter annoncen

»Vi mener, at Strontium forsøgte at etablere langsigtet adgang til sine måls systemer, give taktisk støtte til den fysiske invasion og udslette følsom information. Vi har underrettet Ukraines regering om den aktivitet, vi har opdaget, og den handling, vi har gennemført,« skriver Microsoft.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
10. april kl. 11:06

Malwaren har været i aktiv brug i et års tid, da firmaet bag den usikre firewall havde undladt at gøre godt nok opmærksom på problemet. Så der var tid nok...

Hvis man læser artiklen som du referer så står der ganske klart:

"But it is unclear what the malware was intended to do, since it could be used for everything from surveillance to destructive attacks. An American official said on Wednesday that the United States did not want to wait to find out. ..."

Så det er meget muligt at den udnyttede vulnerability har været kendt og udnyttet i et år men botnettet er nyt. Og set i lyset af den ændrede sikkerhedssituation så var amerikanerne bange for at hullet og botnettet ville blive brugt offensivt nu.

At sikkerhedssituationen ses igen af følgende citat fra artiklen:

"... comes as U.S. officials warn that Russia could try to strike American critical infrastructure — including financial firms, pipelines and the electric grid — in response to the crushing sanctions ..."

4
9. april kl. 17:20

her måde har amerikanerne ødelagt et russisk våben inden det nåede at blive brugtMalwaren har været i aktiv brug i et års tid, da firmaet bag den usikre firewall havde undladt at gøre godt nok opmærksom på problemet. Så der var tid nok...

3
9. april kl. 09:08

I stedet for denne ret meningsløse magtdemonstration kunne man bare have sendt malwarens fingeraftryk til de firmaer, der i forvejen fjerner antivirus hos firmaerne. Det bliver interessant at høre, om også Center for Cybersikkerhed har brugt dette som en bekvem anledning til at bryde ind hos danske firmaer.

Men det havde naturligvis været stjerneidiotisk. For det havde taget tid og viden om USAs viden om botnettet ville være endt i Moskva. I så fald ville russerne kunne udnytte den overlevende del af deres botnet til cyberkrig mod vesten og Ukraine. På den her måde har amerikanerne ødelagt et russisk våben inden det nåede at blive brugt. Set i lyser af timingen har det været vigtigt. Sandsynligvis har amerikanerne kendt til denne malware i en længere periode og haft tid til at analysere den relativt grundigt.

Tja, hvordan kom amerikanerne ind? Statslige bagdøre? Egen malware? admin, admin?

Hvordan amerikanerne var i stand til at opdage og ødelægge botnettet kloden rundt skal jeg ikke kunne sige. Men monitorering af C&C servere ville give mulighed for at afdække botnettets omfang. En grundig analyse af malwaren ville give mulighed for at bruge malwarens egen backdoor til at fjerne samme. Jeg er sikker på at amerikanerne har andre veje men jeg har svært ved at se at amerikanerne skulle udnytte en højkvalitets day-zero backdoor til det her. En sådan backdoor vil i sagens natur skulle være ekstrem generel. Det er den slags backdoors ganske enkelt for værdifulde til.

1
8. april kl. 11:25

USA har i hemmelighed og uden forudgående tilladelse fjernet malware fra computernetværk rundt om i verden i de seneste uger, for at forebygge russiske cyberangreb. Malwaren gjorde det muligt for russerne at skabe botnets kontrolleret af GRU, det russiske militærs efterretningstjeneste. USA vidste ikke, hvad malwaren var beregnet til, men en amerikansk embedsmand forklarede, at USA ikke ønskede at vente på at finde ud af det. Bevæbnet med hemmelige retskendelser i USA og hjælp fra regeringer over hele verden, kunne FBI gå ind i indenlandske virksomhedsnetværk og fjerne malwaren, også uden virksomhedens vidende.https://www.nytimes.com/2022/04/06/us/politics/us-russia-malware-cyberattacks.html

I stedet for denne ret meningsløse magtdemonstration kunne man bare have sendt malwarens fingeraftryk til de firmaer, der i forvejen fjerner antivirus hos firmaerne. Det bliver interessant at høre, om også Center for Cybersikkerhed har brugt dette som en bekvem anledning til at bryde ind hos danske firmaer.

2
8. april kl. 14:05

Tja, hvordan kom amerikanerne ind? Statslige bagdøre? Egen malware? admin, admin?

6
11. april kl. 17:01

Der er ikke så meget hokus pokus. Som der står i artiklen, der refereres til, brugte de den allerede vidt åbne dør.

"we obtained a court order authorizing us to take control of seven internet domains Strontium was using to conduct these attacks. We have since re-directed these domains to a sinkhole controlled by Microsoft, enabling us to mitigate Strontium’s current use of these domains and enable victim notifications."