微软如何巧妙打击“花式熊”黑客组织

把他们打回去？可能不会。至少在微软（Microsoft）不断试图保护其用户免受黑客、网络罪犯和国家资助的组织的攻击时不是这样。

现在有消息透露，微软采取了不同的方法来破坏微软开展的大量网络间谍活动花式熊“黑客集团利用诉讼作为工具—，这家科技公司在法律的帮助下巧妙地劫持了它的一些服务器。
据《每日野兽》发表的一份详细报告称，微软去年利用其法律团队在华盛顿特区外的一家联邦法院起诉Fancy Bear，指控该黑客集团入侵计算机、抢占网络，并保留了几个侵犯微软商标的域名。

花式熊—；也称为APT28、Sofacy、Sednit和Pawn Storm，是一个复杂的黑客组织，至少从2007年开始运作，还被指控入侵民主党全国委员会（DNC）和克林顿竞选团队，试图影响美国总统选举。

该黑客组织据信与俄罗斯秘密军事情报机构GRU（总参谋部主要情报局）有关，不过微软在其诉讼中没有提到Fancy Bear与俄罗斯政府之间的任何联系。

Fancy Bear没有为其网络间谍活动注册通用域名，而是经常选择与微软产品和服务相似的域名，比如livemicrosoft[。]net和rsshotmail[.]为了开展黑客和网络间谍活动。

这不经意间给了微软一个机会，将这个拥有“未知成员”的黑客组织拖进法庭。

微软在花式熊域名上打了个洞

诉讼的目的不是将犯罪集团告上法庭；相反，微软向法院上诉，要求获得Fancy Bear域名的所有权，其中许多充当该组织分发的各种恶意软件的命令和控制服务器。

报告写道：“这些服务器可以被认为是俄罗斯网络间谍活动的间谍分子，耐心地等待他们在现场的恶意软件代理的联系，然后发布加密指令并接受被盗文件”。

尽管微软尚未获得这些域名的全部所有权，但法官去年向域名注册商发布了一项当时已封存的命令“强迫他们改变”至少70个花式熊域名的DNS，并将其指向微软控制的服务器。

最终，微软利用这起诉讼作为一种工具来创建天坑域，使该公司的数字犯罪部门能够积极监控恶意软件基础设施，并识别潜在的受害者。

报告写道：“通过分析进入其天坑的流量，该公司的安全专家已经确定了122名新的网络间谍受害者，并通过互联网服务提供商向他们发出了警报”。

微软已提出上诉，目前仍在等待针对Fancy Bear的最终违约判决，听证会定于周五在弗吉尼亚州法院举行。