Сайт Microsoft хакеры использовали для управления трояном

Безопасность Администратору
мобильная версия
, Текст: Сергей Попсулин
Китайские хакеры использовали популярный ресурс Microsoft TechNet для управления своими командными серверами. Эксперты признали, что этот метод позволил инфраструктуре хакеров просуществовать длительное время.

Microsoft Threat Intelligence Center совместно с компанией FireEye, специализирующейся на защите данных, пресек деятельность хакерской группировки APT17, предположительно, спонсируемой китайским правительством.

Известная атаками на предприятия оборонной промышленности, юридические организации, правительственные структуры, технологические компании и компании по добыче полезных ископаемых, APT17 использовала сайт TechNet для управления своим командно-контрольным сервером (C&C), пишет PC World.

TechNet — интернет-ресурс Microsoft с высоким трафиком. Он содержит техническую документацию для продуктов корпорации и крупный форум, на котором пользователи могут задавать технические вопросы и получать ответы от специалистов.

Участники группировки APT17 — известной также как DeputyDog — создали несколько аккаунтов и оставляли в обсуждениях комментарии c закодированными IP-адресами.

ПК, зараженные трояном Blackcoffee использовали кодированные записи на сайте Microsoft TechNet, чтобы узнать свежие IP-адреса командных серверов и наладить с ними контакт для получения команд или передачи похищенной из зараженной системы информации.

По словам специалистов FireEye, использование стороннего сайта как канала связи с компандным сервером затруднило поиск истинного расположения командно-контрольных серверов и позволило инфраструктуре таких серверов оставаться работоспособной длительное время.

Добавим, что это не первая атака предположительно китайских хакеров, с которой Microsoft столкнулась за последнее время. В январе 2015 г. злоумышленники взломали почтовый сервис Microsoft Outlook. Атака длилась около суток и носила характер «человек посередине» (man in the middle) — когда хакер незаметно вклинивается в линию связи между исходным и конечным пунктом и получает возможность перехватывать данные. Согласно предположению специалистов GreatFire, атака была проведена Китайской администрацией интернет-пространства (Cyberspace Administration of China), отвечающей за интернет-цензуру в государстве.