微软将 Fancy Bear APT 黑客组织告上法庭 想接管其间谍行动使用的域名

阻断 APT 行动或者间谍行动的方法有很多，其实不仅是安全公司的检测与响应，也可以像微软这样拿起法律武器，打击著名的 Fancy Bear APT 黑客组织。Fancy Bear 组织又名 APT28、Sofacy、Sednit 和 Pawn Storm。不少安全公司的报告都指出该黑客组织与俄罗斯秘密情报机构 GRU 存在关联，也被认为是针对去年美国总统大选发动攻击的组织之一。

    这次微软在美国联邦法庭上起诉了 Fancy Bear ，微软指控该 APT 组织实施计算机入侵、网络欺诈，并且还采用多个看起来像是微软产品的域名，如 livemicrosoft[.]net rsshotmail[1].com，用于其网络间谍行动。微软期望通过本次起诉，接管 Fancy Bear 控制下的这些域名。在接管 C&C 基建之后还能对相应恶意程序流量和目标进行分析。

    实际上去年美国地方法官就已经批准微软相应请求，要求域名注册商针对至少 70 个 Fancy Bear 域名改变 DNS，将流量重定向至微软控制下的服务器。这样一来调查方就能监控来自感染系统的流量，追踪僵尸网络基础设施了。针对本次诉讼，微软仍在等待最终判决。