HACKERE BRUGER POPULÆRE WEBSITES TIL AT ANGRIBE REGERINGER OG ANDRE MÅL - TECHCRUNCH - SOCIALE MEDIER - 2019

Anonim

Der er tegn på, at hackere bruger populære websites til at angribe statslige organer, ngo'er og andre cyberspionagemål med stadigt mere subtile forsikringer.

Det er ifølge resultaterne af en ny rapport fra sikkerhedsfirma FireEye, som i sidste måned afslørede detaljer om en tiårig cyberkampagne udført af Kina mod virksomheder i hele Asien. Selskabets nyeste afsendelse lyser på en anden Kina-baseret hackinggruppe, der brugte det populære Microsoft-webforum TechNet til at fjernaktivere malware, der kunne give den adgang til en organisations interne netværk og potentielt trofære af private data.

Programmet - der drives af en gruppe, der er kendt som APT17 - er siden blevet lukket af Microsoft og FireEye. Det forekom ikke at udgøre en trussel mod regelmæssige brugere af hjemmesiden, snarere blev TechNet brugt som et tilsyneladende legitimt medium, hvorigennem gruppen kunne trække spærrene nødvendigvis for at infiltrere et mål.

APT17 - som FireEye sagde har rettet mod regeringsorganer, ngo'er og juridiske firmaer - ville i første omgang udsende malware med en person inden for en målorganisation, måske ved at bruge en ondsindet fil, der blev leveret via e-mail. Hvis malware lastes med succes, kan den udløses eksternt ved hjælp af kode, der blev integreret i en kommentar tilbage på TechNet-forummet.

BLACKCOFFEE, den software, APT17 brugte til sine lovovertrædelser, kan gøre det muligt for gruppen at udføre en række aktiviteter, herunder upload og download af filer, afslutning af processer på en værtsmaskine og indførelse af andre bagdørskommandoer.

Selvom kommentarerne selv syntes ubemærket og spammy, repræsenterede de en mere skjult metode til at lægge en aktiveringskode uden at tiltrække de interne sikkerhedssystemers opmærksomhed.

Indlejring af kodede C2 IP-adresser til et websted som TechNet, som ofte besøges af it-fagfolk over hele verden, gør det muligt at opdage ondsindet aktivitet mere udfordrende end at spore trusler fra websteder, der har helt kompromitteret for falske formål. Med andre ord, at besøge et websted som TechNet regelmæssigt sandsynligvis ikke vil øge alarm som almindelig trafik til obskure websites, der er vært i Rusland, for eksempel.

"Denne yderligere forvirring sætter endnu et lag mellem APT17 og de sikkerhedspersonale, der forsøger at jage dem, " sagde FireEye i sin rapport.

I sidste ende kontaktede FireEye Microsoft, som låste koncernens konti på TechNet, men det sagde, at denne strategi - som "få sikkerhedsfirmaer har offentligt diskuteret" - sandsynligvis bliver mere almindeligt, da cyberspionageteknikker udvikler sig i sofistikeret udvikling.

"Organisationer vil have brug for ny teknologi til at opdage disse angreb, " sagde Bryce Boland, FireEye's APAC CTO, i et interview. Sagen er en påmindelse om, at organisationer med "meget kritiske miljøer ikke bør tillade folk at modtage indhold fra internettet."

Men det er ikke kun på virksomheder at styre deres netværk, tilføjer Boland, at websteder, der tillader brugergenereret indhold - herunder sociale netværk - også skal være forsigtige.

"Du ser på mange steder og det vrøvl, som folk skriver i kommentarafsnit, men syntes du nogensinde, at det var så slemt, at det kunne være en angriber på udkig efter et indbrud?" han tilføjede.