Разделы

Безопасность Администратору
|

Сайт Microsoft хакеры использовали для управления трояном

Китайские хакеры использовали популярный ресурс Microsoft TechNet для управления своими командными серверами. Эксперты признали, что этот метод позволил инфраструктуре хакеров просуществовать длительное время.

Microsoft Threat Intelligence Center совместно с компанией FireEye, специализирующейся на защите данных, пресек деятельность хакерской группировки APT17, предположительно, спонсируемой китайским правительством.

Известная атаками на предприятия оборонной промышленности, юридические организации, правительственные структуры, технологические компании и компании по добыче полезных ископаемых, APT17 использовала сайт TechNet для управления своим командно-контрольным сервером (C&C), пишет PC World.

TechNet — интернет-ресурс Microsoft с высоким трафиком. Он содержит техническую документацию для продуктов корпорации и крупный форум, на котором пользователи могут задавать технические вопросы и получать ответы от специалистов.

Участники группировки APT17 — известной также как DeputyDog — создали несколько аккаунтов и оставляли в обсуждениях комментарии c закодированными IP-адресами.

ПК, зараженные трояном Blackcoffee использовали кодированные записи на сайте Microsoft TechNet, чтобы узнать свежие IP-адреса командных серверов и наладить с ними контакт для получения команд или передачи похищенной из зараженной системы информации.

По словам специалистов FireEye, использование стороннего сайта как канала связи с компандным сервером затруднило поиск истинного расположения командно-контрольных серверов и позволило инфраструктуре таких серверов оставаться работоспособной длительное время.

Добавим, что это не первая атака предположительно китайских хакеров, с которой Microsoft столкнулась за последнее время. В январе 2015 г. злоумышленники взломали почтовый сервис Microsoft Outlook. Атака длилась около суток и носила характер «человек посередине» (man in the middle) — когда хакер незаметно вклинивается в линию связи между исходным и конечным пунктом и получает возможность перехватывать данные. Согласно предположению специалистов GreatFire, атака была проведена Китайской администрацией интернет-пространства (Cyberspace Administration of China), отвечающей за интернет-цензуру в государстве.

Сергей Попсулин

Подписаться на новости Короткая ссылка


Другие материалы рубрики

СУБД для высоких нагрузок: почему крупнейшие компании страны выбирают Postgres Pro Enterprise

Cisco придумала новый способ озолотиться, заставив клиентов купить у нее новое «железо»

Управление основными данными: Российские продукты готовы заменить западные системы MDM

Скрытая разработчиками уязвимость расползлась по дата-центрам

Как будут развиваться российские ИБ-экосистемы

Транслируем онлайн-стрим: состояние и технологические тренды сетевой безопасности

MARKET.CNEWS

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

СЭД

Подобрать систему электронного документооборота СЭД (ECM)

От 1 360 руб./месяц

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

Техника

Как обустроить быт в палатке: лучшие гаджеты для походов

Обзор ноутбука HUAWEI MateBook D 16 2024: производительный малый

Самые дорогие мониторы для профессиональной работы: выбор ZOOM

Показать еще

Наука

На каком языке думают нейросети?

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр
Показать еще