Slik fremstiller FireEye angrepsprosessen. (Foto: FireEye)

sikkerhet

Gjemte skadevare i Microsoft-nettside 

Kinesisk gruppe avslørt

Microsofts nettsted Technet, som samler ressurser for profesjonelle brukere av selskapets produkter, ble brukt i som et depot i et angrep fra kinesiske hackere, skriver PC World

De ansvarlige kalles for APT 17  (APT står for advanced, persistent threats) av sikkerhetsforskerne i FireEye, og skal være den samme gruppen som tidligere har utført angrep på flere betydelige amerikanske aktører, inkludert regjering og forsvar.

Laget falske profiler

Gruppen skal ha opprettet kontoer hos Technet, lagt igjen kommentarer i diskusjonsgrupper der, og på denne måten tvunget inn konfigurasjonsfiler som brukes for å styre datamaskiner som allerede er infisert med skadevaren BLACKCOFFEE.

Kommentarene skal ha inneholdt navn til et domene som de infiserte maskinene da kontaktet. 

Frykten for mobil skadevare er overdrevet, mener noen.

Deretter ble maskinene automatisk koblet opp mot såkalte «command and control»-servere som er en del av infrastrukturen til APT 17. 

Denne metoden skal være ofte brukt av hackere - et respektabelt domene som Technet er godt egnet som utgangspunkt til slik videresending til tredjeparts-servere. 

Det kan også være vanskelig å spore den faktiske lokasjonen til CnC-serverne og dermed kan de forbli aktive lenger. 

Skadevaren, BLACKCOFFEE, hart vært benyttet av APT 17 siden 2013.

Ryddet opp

Man har tidligere sett lignende angrep knyttet til andre anerkjente domener som Google Docs og Twitter. Microsoft skal ha samarbeidet med FireEye om å erstatte de utsatte domenene inne på Technet med domener kontrollert av dem selv, noe som gav dem innsikt i problemet. Technet skal nå være ryddet for den skadelige koden, og Microsoft skal ha sluppet oppdateringer til sine anti-skadevare-produkter. De påpeker også at selve Technet ikke ble angrepet, bare brukt som en mellomstasjon som førte brukerne videre.

Slik skal Microsoft bekjempe skadevare fremover.

Til toppen