USD 93.44
ЕВРО 99.58
Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Китайские хакеры используют Microsoft TechNet для атак
Экономика
Группа DeputyDog нацелена на государственные учреждения и компании
Microsoft предприняла шаги, чтобы остановить использование сайта TechNet китайской группой хакеров в рамках своей инфраструктуры атаки, в соответствии с информацией компании FireEye.
Группа, которую FireEye называет APT (advanced persistent threat) 17, хорошо известна за нападения на подрядчиков министерства обороны, юридические фирмы, правительственные учреждения США, технологические и горнодобывающие компании.
TechNet является сайтом с высоким трафиком, на котором содержится техническая документация на продукты Microsoft. Он также имеет большой форум, где пользователи могут оставлять комментарии и задавать вопросы.
Группа APT17 с никнеймом DeputyDog создавала учетные записи на веб-сайте TechNet, а затем оставляла комментарии на определенных страницах. Эти комментарии содержат имя закодированного домена, с которым компьютеры, зараженные вредоносными программами группы, были проинструктированы связаться.
Затем кодированный домен отправлял компьютер жертвы на командно-контрольный сервер, который был частью инфраструктуры APT17, сказал главный технический директор FireEye Брайс Боланд.
Часто используется методика, когда зараженный компьютер связывается с посредническим доменом. Хакеры хотят, чтобы зараженные машины обратились к домену, который не выглядит подозрительно, прежде чем перейти на менее авторитетный.
«Это совершенно нормально, когда через TechNet проходит много трафика», говорит Боланд.
Иногда, командно-контрольные домены встроены в сами вредоносные программы, но это позволяет исследователям компьютерной безопасности легко обнаружить — с какими из них он контактирует. В других случаях, вредоносные программы кодируются с помощью алгоритма, который генерирует возможные доменные имена, с которыми следует связаться, но с помощью реверс инжиниринга их также можно узнать, сказал Боланд.
Эксперты по безопасности уже отмечали случаи, когда хакеры используют другие легитимные домены и сервисы, такие как Google Docs и Twitter, чтобы достичь той же цели, что и APT17, сказал Боланд.
«Это вызов для любой открытой платформы», сказал он.
FireEye и Microsoft заменили закодированные домены на TechNet на контролируемые компанией, что дало им представление о проблеме, когда инфицированные машины обращались на эти домены.
APT17 «была нацелена на наших клиентов в течение многих лет», сказал Боланд. Против организаций, как правило, используется целевой фишинг, который заключается в отправке письма с вредоносными ссылками или вложениями, сказал он.
За последние пару лет, APT17 заражала компьютеры вредоносной программой, которую FireEye называет BLACKCOFFEE. Данная вредоносная программа, среди других функций, может загружать файлы, удалять файлы и создавать реверсную оболочку на компьютере.
