Китайские хакеры использовали сайт Microsoft TechNet для осуществления атак

Компания Microsoft совместно с ИБ-компанией FireEye пресекла деятельность китайской группировки APT 17, использовавшей блог Microsoft TechNet для маскировки хакерских операций. Группировка, предположительно спонсируемая китайским правительством, хорошо известна своими атаками на госорганизации США, предприятия оборонной промышленности, а также юридические и информационно-технологические компании.

TechNet – интернет-ресурс с высоким трафиком, содержащий техническую информацию о продукции Microsoft, новости и предстоящие события для профессионалов в сфере информационных технологий. На портале также есть форум, на котором пользователи могут оставлять комментарии и задавать вопросы.

Участники APT 17 размещали комментарии на TechNet и создавали профильные страницы, содержащие закодированные IP-адреса C&C-сервера, которые направляли вариант бэкдора BLACKCOFFEE на C&C-сервер злоумышленников. В результате деятельности киберпреступников система безопасности TechNet скомпрометирована не была, однако такая тактика может успешно сработать на других интернет-площадках и форумах,  отметили  специалисты.

Большинство хакерских групп предпочитают компрометировать без труда манипулируемые сайты, что ведет к довольно быстрому обнаружению их деятельности и местоположения. Тактика, применяемая APT 17, более искусна, но далеко не нова. К примеру, известны случаи, когда несколько зомби-сетей использовали профили в Twitter в качестве канала связи. По словам экспертов, ранее APT 17 уже эксплуатировала популярные поисковые системы, в том числе Google и Bing, для маскировки своей активности и расположения серверов.

Как прогнозирует сотрудница FireEye Лора Галанте (Laura Galante), в недалеком будущем подобное кодирование и обфускация станут довольно популярной тактикой среди хакерских группировок по всему миру.

С полным отчетом FireEye можно ознакомиться  здесь .