Η Microsoft προχώρησε στην κατάσχεση δεκάδων κακόβουλων ιστότοπων, που όπως ανακάλυψε χρησιμοποιούνται από την κρατική ομάδα hacker Nickel στην Κίνα, για να στοχεύουν οργανισμούς στις ΗΠΑ και σε 28 άλλες χώρες παγκοσμίως.
Δείτε επίσης: Κινέζοι hacker χακάρουν δεδομένα για μελλοντική κβαντική αποκρυπτογράφηση
Στις επιθέσεις τους, οι hackers της ομάδας Nickel, γνωστοί και ως KE3CHANG, APT15, Vixen Panda, Royal APT ή Playful Dragon, παραβίασαν διακομιστές κυβερνητικών οργανισμών, διπλωματικών οντοτήτων και μη κυβερνητικών οργανώσεων (ΜΚΟ) σε 29 χώρες, κυρίως στην Ευρώπη και τη Λατινική Αμερική.
«Πιστεύουμε ότι αυτές οι επιθέσεις χρησιμοποιήθηκαν σε μεγάλο βαθμό για τη συλλογή πληροφοριών από κυβερνητικές υπηρεσίες, δεξαμενές σκέψης και οργανώσεις ανθρωπίνων δικαιωμάτων», δήλωσε ο Tom Burt, Εταιρικός Αντιπρόεδρος για την Ασφάλεια Πελατών της Microsoft.
Η Microsoft μπόρεσε να καταστρέψει την υποδομή της ομάδας Nickel αφού το Επαρχιακό Δικαστήριο των ΗΠΑ για την Ανατολική Περιφέρεια της Βιρτζίνια ενέκρινε εντολή μετά από καταγγελία που υποβλήθηκε στις 2 Δεκεμβρίου.
Σύμφωνα με την απόφαση του δικαστηρίου, οι τομείς ανακατευθύνθηκαν “σε ασφαλείς διακομιστές αλλάζοντας τους έγκυρους διακομιστές ονομάτων σε NS104a.microsoftintemetsafety.net και NS104b.microsoftintemetsafety.net.”
Δείτε ακόμα: Ρώσοι κυβερνοεγκληματίες επιδιώκουν συνεργασίες με Κινέζους hackers;
Η Μονάδα Ψηφιακών Εγκλημάτων (DCU) της Microsoft εντόπισε για πρώτη φορά την ομάδα πίσω από αυτούς τους κακόβουλους τομείς το 2016. Η Mandiant τους παρακολουθεί ως Ke3chang και λέει ότι είναι ενεργοί τουλάχιστον από το 2010.
Από το 2019, παρατηρήθηκε ότι στοχεύει κυβερνητικές οντότητες σε ολόκληρη τη Λατινική Αμερική και την Ευρώπη, σύμφωνα με το Κέντρο Πληροφοριών Απειλών (MSTIC) και τη Μονάδα Ψηφιακής Ασφάλειας (DSU) της Microsoft.
Ο τελικός στόχος της Nickel είναι να αναπτύξει κακόβουλο λογισμικό σε παραβιασμένους διακομιστές που επιτρέπει στους χειριστές του να παρακολουθούν τη δραστηριότητα των θυμάτων τους, καθώς και να συλλέγουν δεδομένα και να τα διευρύνουν σε διακομιστές υπό τον έλεγχό τους.
Αυτοί οι hacker που υποστηρίζονται από την Κίνα χρησιμοποιούν παραβιασμένους τρίτους προμηθευτές VPN, διαπιστευτήρια που έχουν κλαπεί σε καμπάνιες spear-phishing και εκμεταλλεύσεις που στοχεύουν μη επιδιορθωμένους διακομιστές Exchange Server και SharePoint για να παραβιάσουν τα δίκτυα των στόχων τους.
Δείτε επίσης: Κινέζοι χάκερ πίσω από επιθέσεις σε δέκα ισραηλινά νοσοκομεία;
Τον Μάρτιο του 2020, η ομάδα χρησιμοποίησε το botnet ανεπιθύμητης αλληλογραφίας Necurs, για τη διανομή ωφέλιμων φορτίων κακόβουλου λογισμικού και τη μόλυνση εκατομμυρίων υπολογιστών στις ΗΠΑ.
Σύμφωνα με τη Microsoft, πριν καταργηθεί, το Necurs έστειλε περίπου 3,8 εκατομμύρια ανεπιθύμητα μηνύματα σε περισσότερους από 40,6 εκατομμύρια στόχους μέσα σε μόλις 58 ημέρες.
