Microsoft отобрала полсотни доменов у китайских госхакеров

0
48

Пять лет слежки

Корпорация Microsoft в соответствии с решением суда перехватила контроль над 42 доменами, которыми пользовалась китайская кибершпионская группировка APT15/Nickel.

Эта группировка активна как минимум с 2010 г. Считается, что за ней стоят спецслужбы КНР. Microsoft отслеживала деятельность этой группы с 2016 г. Операторы группировки в основном атаковали правительственные учреждения, аналитические агентства и правозащитные организации. Ранее Nickel также атаковала частные коммерческие компании.

По словам экспертов Microsoft, APT15 использует множество продвинутых методов компрометации целевых систем. Как правило, целью атаки является внедрение малозаметного вредоносного ПО, которое используется для отслеживания процессов в сети атакованной организации и вывода данных.

Microsoft отобрала полсотни доменов у китайских госхакеров

Microsoft отобрала 42 домена у китайской APT-группы

В некоторых случаях атаки начинались с компрометации сторонних VPN-сетей. Хакеры также активно использовали реквизиты доступа, украденные с помощью фишинговых атак. Группировка также использовала уязвимости в локальных версиях Exchange Server и SharePoint.

Отобрать инфраструктуру

На днях Microsoft получила от окружного суда в штате Виргиния ордер на захват доменов, которыми пользовались хакеры APT15. Теперь весь трафик с этих доменов перенаправляется на серверы Microsoft. Эксперты по информационной безопасности компании надеются таким образом предотвратить как минимум часть новых атак и больше узнать о деятельности группировки.

«Мы не сможем полностью остановить хакерскую деятельность Nickel, однако мы уверены, что смогли заблокировать ключевую составляющую инфраструктуры группировки, которая использовалась в большей части недавних атак», — заявил Том Бёрт (Tom Burt), вице-президент Microsoft по защите безопасности пользователей.

«Действий отдельно взятой корпорации, пусть даже такой могущественной, как Microsoft, никогда не будет достаточно для того, чтобы полностью остановить деятельность кибершпионской группировки, — говорит Данила Каревский, эксперт по информационной безопасности компании SEQ. — Ирония еще и в том, что большинство APT-группировок так или иначе эксплуатируют программные ошибки, допущенные самими разработчиками продуктов Microsoft. Но как бы там ни было, вывод из строя хотя бы части инфраструктуры APT-группировок — это всегда хорошая новость.

Microsoft уже не впервые проводит подобные акции против хакерских группировок: на счету корпорации успешный перехват значительной части инфраструктуры у группировок Thallium, Barium, Strontium и Phosphorus, за которыми, как считается, стоят спецслужбы разных стран.