USD 66.43 ЕВРО 75.39

Китайские хакеры используют Microsoft TechNet для атак

Экономика

Группа DeputyDog нацелена на государственные учреждения и компании

Microsoft предприняла шаги, чтобы остановить использование сайта TechNet китайской группой хакеров в рамках своей инфраструктуры атаки, в соответствии с информацией компании FireEye.
Группа, которую FireEye называет APT (advanced persistent threat) 17, хорошо известна за нападения на подрядчиков министерства обороны, юридические фирмы, правительственные учреждения США, технологические и горнодобывающие компании.

TechNet является сайтом с высоким трафиком, на котором содержится техническая документация на продукты Microsoft. Он также имеет большой форум, где пользователи могут оставлять комментарии и задавать вопросы.

Группа APT17 с никнеймом DeputyDog создавала учетные записи на веб-сайте TechNet, а затем оставляла комментарии на определенных страницах. Эти комментарии содержат имя закодированного домена, с которым компьютеры, зараженные вредоносными программами группы, были проинструктированы связаться.

Затем кодированный домен отправлял компьютер жертвы на командно-контрольный сервер, который был частью инфраструктуры APT17, сказал главный технический директор FireEye Брайс Боланд.

Часто используется методика, когда зараженный компьютер связывается с посредническим доменом. Хакеры хотят, чтобы зараженные машины обратились к домену, который не выглядит подозрительно, прежде чем перейти на менее авторитетный.

«Это совершенно нормально, когда через TechNet проходит много трафика», говорит Боланд.

Иногда, командно-контрольные домены встроены в сами вредоносные программы, но это позволяет исследователям компьютерной безопасности легко обнаружить — с какими из них он контактирует. В других случаях, вредоносные программы кодируются с помощью алгоритма, который генерирует возможные доменные имена, с которыми следует связаться, но с помощью реверс инжиниринга их также можно узнать, сказал Боланд.

Эксперты по безопасности уже отмечали случаи, когда хакеры используют другие легитимные домены и сервисы, такие как Google Docs и Twitter, чтобы достичь той же цели, что и APT17, сказал Боланд.

«Это вызов для любой открытой платформы», сказал он.
FireEye и Microsoft заменили закодированные домены на TechNet на контролируемые компанией, что дало им представление о проблеме, когда инфицированные машины обращались на эти домены.

APT17 «была нацелена на наших клиентов в течение многих лет», сказал Боланд. Против организаций, как правило, используется целевой фишинг, который заключается в отправке письма с вредоносными ссылками или вложениями, сказал он.

За последние пару лет, APT17 заражала компьютеры вредоносной программой, которую FireEye называет BLACKCOFFEE. Данная вредоносная программа, среди других функций, может загружать файлы, удалять файлы и создавать реверсную оболочку на компьютере.