Hackeři začali využívat pro své ataky TechNet, známý portál Microsoftu

15. 5. 2015

Sdílet

 Autor: © lassedesignen - Fotolia.com
Čínští hackeři podle nových informací společnosti FireEye začali ke svým kybernetickým útokům zneužívat známý portál TechNet, který vlastní Microsoft.

Skupina hackerů, kterou FireEye přezdívá jako APT (Advanced Persisent Threat) 17, již v minulosti podnikla řadu útoků na počítačové sítě právnických firem, obchodníků se zbraněmi, vládních agentur či technologických firem. Nově skupina APT 17 - někdy také přezdívaná jako DeputyDog – ke svým sofistikovaným útokům používá účty na webovém portálu TechNet.

V rámci nového útoku si hackeři vytvoří účet na TechNetu a následně zanechávají na tomto blogu komentáře, v nichž jsou zakódovány instrukce pro variantu jejich červa BLACKCOFFEE. Pokud na danou stránku vstoupí uživatel, jehož systém je pomocí tohoto škodlivého kódu infikován, červ rozpozná instrukci zakódovanou v komentáři a přesměruje nic netušícího uživatele na doménu ATP17, pomocí níž mohou útočníci jeho systém na dálku ovládat. Zabezpečení TechNetu tedy při této formě útoku nebylo nijak prolomeno.

Většina hackerů využívá při podobných útocích méně známé webové stránky, které mohou snadno upravit, avšak využití známějších webů typu fór TechNetu není také ničím neobvyklým. Podle Bryce Bolanda ze společnosti FireEye totiž hackeři často chtějí, aby infikovaný počítač přistupoval nejprve k doméně, která v očích uživatelů nevypadá podezřele, než jej přesměrují na doménu jinou.

Jak dodal Boland, někdy jsou domény, pomocí nichž hackeři ovládají počítače uživatelů, již vloženy do samotného červa, avšak v takových případech mohou bezpečnostní experti nebezpečné stránky snadno identifikovat. Často je tedy příkaz ke kontaktování serverů útočníků na různé webové stránky.

Podle Bolanda útočníci takto v čím dál větší míře zneužívají legitimní domény typu Google Docs či Twitteru, což je pro jejich administrátory velkým problémem.

bitcoin_skoleni

„ATP17 útočí na naše zákazníky již řadu let,“ dodal Boland s tím, že nejčastějším typem útoku je phishing, při němž jsou zaměstnancům různých firem odesílány e-maily obsahující odkazy na nebezpečné webové stránky či přílohy.

Čínská skupina hackerů již řadu let využívá k infikaci počítačů program BLACKCOFFEE, jenž mimo jiné umí na dálku ze systémů uživatelů mazat nebo na ně nahrávat různé soubory.