ΑρχικήsecurityΚινέζοι χάκερς χρησιμοποιούν το TechNet για τις επιθέσεις τους

Κινέζοι χάκερς χρησιμοποιούν το TechNet για τις επιθέσεις τους

Η Microsoft έχει λάβει μέτρα για να σταματήσει μια κινέζικη ομάδα χάκερς από το να χρησιμοποιούν το TechNet website της ως τμήμα της υποδομής της επίθεσής της, σύμφωνα με τον προμηθευτή ασφάλειας FireEye.

Η ομάδα, που η FireEye αποκαλεί APT (advanced persistent threat) 17, είναι γνωστή για τις επιθέσεις της ενάντια στους προμηθευτές όπλων, στις νομικές εταιρίες, στις υπηρεσίες της αμερικανικής κυβέρνησης και σε εταιρείες τεχνολογίας και εξωρύξεων.

Κινέζοι χάκερς χρησιμοποιούν το TechNet για τις επιθέσεις τους

Το TechNet είναι ιδιαίτερα εμπορικό website που έχει την τεχνική έκθεση για τα προϊόντα της Microsoft. Έχει επίσης ένα μεγάλο φόρουμ, όπου οι χρήστες μπορούν να αφήσουν σχόλια και να υποβάλουν τις ερωτήσεις τους.

Η ομάδα APT17 –με το ψευδώνυμο DeputyDog- δημιούργησαν accounts στο TechNet και έπειτα άφηναν σχόλια σε ορισμένες σελίδες. Εκείνα τα σχόλια περιείχαν το όνομα ενός κωδικοποιημένου domain, στον οποίο οδηγήθηκαν οι υπολογιστές που είχαν μολυνθεί από το malware που είχε δημιουργήσει η ομάδα.

Το κωδικοποιημένο domain ανάφερε έπειτα τον υπολογιστή του θύματος σε έναν command-and-control server που ήταν μέρος της υποδομής της APT17, αναφέρει στην δήλωσή του ο Bryce Boland, ο chief technology για το κομμάτι της Ασίας και του Ειρηνικού της εταιρείας FireEye.

Η τεχνική της επικοινωνίας ενός μολυσμένου υπολογιστή με έναν ενδιάμεσο domain χρησιμοποιείται συχνά. Συχνά, οι χάκερ θέλουν οι μολυσμένες μηχανές να φτάσουν σε ένα domain που είναι απίθανο να φανεί ύποπτο πρίν προχωρήσουν σε έναν άλλο λιγότερο αξιόπιστο.

Μερικές φορές, οι command-and-control domains ενσωματώνονται στο ίδιο το malware, αλλά αυτό διευκολύνει τους ερευνητές ασφάλειας να διαπιστώσουν με ποιον επικοινωνεί. Άλλες φορές , το malware κωδικοποιείται με έναν αλγόριθμο που παράγει πιθανά domains names με τα οποία πρέπει να επικοινωνήσει, αλλά αυτό μπορεί επίσης να γίνει reverse engineered (αποσυμπίληση) από τους αναλυτές, αναφέρει ο Boland.

keyboard_chinese_flag-100525260-carousel.idgeΟι ειδικοί ασφάλειας έχουν δει τους επιτιθεμένους να κάνουν κακή χρήση άλλων νόμιμων domains και υπηρεσιών, όπως τα Google Docs και το Twitter, για να πετύχουν τον ίδιο στόχο με APT17, όπως αναφέρει ο Boland.

Η FireEye και η Microsoft αντικατέστησαν τους κωδικοποιημένους domains στο TechNet με εκείνους που ελέγχονται από τις επιχειρήσεις, οι οποίες τους έδωσαν μια εικόνα του προβλήματος όταν οι μολυσμένες μηχανές επικοινώνησαν με τα εν λόγω domains.

H APT17 «έχει ως στόχο τους πελάτες μας για πολλά χρόνια,» λέει o Boland. Οι οργανισμοί χαρακτηριστικά στοχεύονται μέσω spear-phishing -, το οποίο περιλαμβάνει την αποστολή emails με κακόβουλα links ή συνημμένα.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS