Microsoft заявила о захвате сайтов китайских хакеров
Microsoft заявила, что ей удалось установить контроль над рядом веб-сайтов, которые использовались поддерживаемой, предположительно, правительством Китая хакерской группой для атак на организации в 29 странах, включая США.
Подразделение по борьбе с цифровыми преступлениями Microsoft (DCI) сообщило, что федеральный суд в Вирджинии издал приказ, позволяющий компании взять под свой контроль веб-сайты и перенаправить трафик на серверы Microsoft. По данным компании, вредоносные сайты использовались спонсируемой государством хакерской группой, известной как Nickel, или APT15, для сбора разведданных от государственных органов, аналитических центров и правозащитных организаций.
Microsoft, которая отслеживает Nickel с 2016 года и ранее описывала ее как одну из «самых активных» хакерских групп, нацеленных на государственные учреждения, заявила, что наблюдала «очень сложные» атаки, которые устанавливали трудно обнаруживаемое вредоносное ПО. В некоторых случаях, согласно данным компании, в атаках использовались скомпрометированные сторонние поставщики виртуальной частной сети (VPN) и учетные данные, полученные в результате целевых фишинговых кампаний, а в других сценариях для проникновения в сети компаний использовались уязвимости в сервере Microsoft Exchange и системе SharePoint.
«Получение контроля над вредоносными веб-сайтами и перенаправление трафика с этих сайтов на защищенные серверы Microsoft поможет нам защитить существующих и будущих жертв, одновременно узнавая больше о деятельности Nickel», — написал Том Берт, вице-президент Microsoft по безопасности и доверию клиентов. Он отметил, что действия компании не помешают Nickel продолжить хакерские операции, но в Microsoft уверены, что удалили ключевую часть инфраструктуры, на которую группа полагалась для этой последней волны атак.
Помимо США, Nickel атаковала организации в Аргентине, Барбадосе, Боснии и Герцеговине, Бразилии, Болгарии, Чили, Колумбии, Хорватии, Чехии, Доминиканской Республике, Эквадоре, Сальвадоре, Франции, Гватемале, Гондурасе, Венгрии, Италии, Ямайке, Мали, Мексике, Черногории, Панаме, Перу, Португалии, Швейцарии, Тринидаде и Тобаго, Великобритании и Венесуэле.
Microsoft заявила, что ее подразделение по борьбе с цифровыми преступлениями заблокировало более 10 тысяч вредоносных веб-сайтов, используемых киберпреступниками, и почти 600 веб-сайтов, используемых государственными структурами. Ранее в этом году команда взяла под контроль вредоносные веб-домены, которые использовались в крупномасштабной кибератаке путем фишинга, нацеленной на жертв в 62 странах.
В марте Microsoft сообщила об атаке на Microsoft Exchange Server. По мнению компании, за взломом стояла хакерская группа Hafnium. В результате атаки только в США были скомпрометированы десятки тысяч организаций. В июле НАТО и правительство США публично обвинили Министерство государственной безопасности Китая в кибератаке на Microsoft Exchange.
По данным Microsoft, с июля 2020 по июнь 2021 года 58% всех кибератак были совершены из России. Китайские хакеры действуют менее активно, отмечала компания, но почти всегда успешно: на Китай пришлось менее 10% атак, осуществляемых при поддержке правительства, но в 44% случаев цели удалось взломать.
В октябре США провели международный форум по кибербезопасности, на который американское правительство пригласило представителей из 30 стран и Евросоюза, но не позвало Россию и Китай.
В том же месяце в Китае прошел национальный хакерский турнир Tianfu Cup. Его победителям раздали более $1,5 млн за взлом популярного в мире программного обеспечения, в том числе Chrome, iOS 15, Windows 10, Microsoft Exchange Server 2019 и др.
В ноябре Microsoft представила более 55 обновлений для разных уязвимостей в своих продуктах, в том числе двух уязвимостей нулевого дня, замеченных в хакерских атаках. Одна из них относилась к Microsoft Exchange Server и связана с удаленным выполнением кода.
