Microsoft подчини китайски домейни за кибершпионаж

Не за първи път отделът за киберсигурност на Microsoft възпира дейността на хакерски групи
(снимка: Microsoft)

Microsoft иззе контрола над 42 домейна, използвани от китайската група за кибершпионаж APT15/Nickel, по силата на съдебно решение. Групата е активна поне от 2010 г., като се смята, че зад нея стоят специалните служби на КНР.

Софтуерният гигант проследява групата от 2016 г. Нейните оператори шпионират предимно правителствени агенции, анализатори и организации за правата на човека. По-рано APT15/Nickel атакуваше и частни фирми.

Експертите на Microsoft твърдят, че APT15 използва много усъвършенствани методи за компрометиране на целевите системи. Обикновено хакерите се опитват да внедрят фин злонамерен софтуер, който се използва за наблюдение на процесите в мрежата на атакуваната организация и изходните данни.

В някои случаи атаките започват с компрометиране на VPN (частни виртуални мрежи) на трети страни. Хакерите също активно използват идентификационни данни за достъп, откраднати чрез фишинг атаки. Групата разчита и на уязвимости в локалните версии на Exchange Server и SharePoint.

Наскоро Microsoft получи заповед от Окръжния съд във Вирджиния да изземе домейните, използвани от хакерите на APT15. Целият трафик от тези домейни вече се пренасочва към сървърите на Microsoft. Експертите по информационна сигурност на компанията се надяват по този начин да предотвратят поне част от новите атаки и да научат повече за дейността на групата.

„Не можем напълно да спрем хакерските дейности на Nickel, но сме уверени, че успяхме да блокираме ключова част от инфраструктурата на групата, която беше използвана в повечето от последните атаки”, разказва Том Бърт, вицепрезидент на Microsoft по защита на потребителската сигурност.

Иронията е, че по-голямата част от APT групите по един или друг начин експлоатират софтуерни грешки, направени от самите разработчици на продуктите на Microsoft. Но унищожаването на поне част от инфраструктурата на APT-групите винаги е добра новина.

Не за първи път Microsoft извършва подобни действия срещу хакерски групи: корпорацията успешно прихвана значителна част от инфраструктурата на групите Thallium, Barium, Strontium и Phosphorus, за които се смята, че стоят зад разузнавателните служби на различни държави.

Коментар