Illustrasjonsbilde: Microsoft forsøker å gjøre det vanskeligere for antatt russisk hackergruppe å opprettholde virksomheten.
Illustrasjonsbilde: Microsoft forsøker å gjøre det vanskeligere for antatt russisk hackergruppe å opprettholde virksomheten. (Bilde: Colourbox/Oleshko Artem)

Fancy Bear

Microsoft bruker varemerker til å angripe hackergruppen Fancy Bear

Vil overta store mengder med domenenavn.

Det er ikke enkelt å stoppe statssponsede hackergrupper. Men nå gjør Microsoft et forsøk på å legge kjepper i hjulene for en slik gruppe, ved hjelp med en metode som umiddelbart kan framstå som litt underlig: et søksmål om opphavsrett ved en amerikansk domstol. Motparten er gruppen som gjerne blir kalt for Fancy Bear, Pawn Storm, Strontium eller APT28 (Advanced Persistent Threat 28), som antas å være knyttet til russiske myndigheter.

Ifølge The Daily Beast, som først omtalte saken, handler egentlig ikke søksmålet om å trekke Fancy Bear for retten. I stedet ønsker Microsoft å angripe det som selskapet mener er de mest sårbare punktene i gruppens operasjoner, nemlig kommando- og kontrollserverne (C&C), som brukes til å kontrollere skadevaren som Fancy Bear utviklere og benytter. 

Varemerker

Av en eller annen grunn så har Fancy Bear i stor grad benyttet domenenavn for disse serverne som er basert på navnene til produkter fra Microsoft, slik som rsshotmail.com og onedrivemicrosoft.com. 

Microsoft eier rettighetene til disse produktnavnene og mener derfor at selskapet kan kreve å få overta domenenavnene. Det gjør det også mulig for selskapet å omdirigere all trafikk som egentlig er ment for C&C-serverne, til selskapets egne servere.

Microsoft skal allerede ha overtatt kontrollen over mange slike domenenavn, også i forbindelse med angrep fra helt andre grupper. Men denne gangen går selskapet for langt flere. En liste over rundt 9000 ulike domenenavn er nevnt i dette rettsdokumentet. Saken skal nå behandles av en føderal domstol i østlige Virginia, etter mange måneder med forberedelser. 

Les også: – Etterretningen i USA skjøt feil cyber-bjørn

Intet svar

Microsoft skal gjennom gjentatte stevninger og eposter ha forsøk å få kontakt med Fancy Bear. Ved hjelp av innhold som lastes når eposten åpnes, har selskapet kunnet se at meldingene blir lest. Men ut over dette har det vært liten respons. Så det er svært lite sannsynlig at gruppen vil møte i rettssalen for å forsvare seg mot anklagene fra Microsoft. 

Microsoft har for ordens skyld gjort alle rettsdokumentene tilgjengelig på dette nettstedet.

Noe av tanken bak ønsket om å overta alle de aktuelle domene, er gjøre driften av operasjonene vanskeligere for Fancy Bear. Gruppen må registrere nye domener og rulle ut ny skadevare som kan kommunisere med C&C-serverne som er knyttet til disse.

Men allerede skal trusselgruppen ha begynt å ta i bruk mer generelle domenenavn, som ikke inneholder noe som kan knyttes til Microsoft. Det vil kunne gjøre det vanskeligere for blant annet Microsoft å utføre aktiv overvåkning av domenenavn med onde hensikter.

Ifølge The Daily Beast har Fancy Bear vært aktive i alle fall siden 2007. Gruppen skal ha brutt seg inn hos eller angrepet blant annet Nato, Obama-administrasjonen, World Anti-Doping Agency og ikke minst Democratic Nation Committee og valgkampkampanjen til Hillary Clinton.

Leste du denne? Rapport om infisert artilleri-app blir grundig avkreftet

Kommentarer (4)

Kommentarer (4)
Til toppen