HACKARE ANVÄNDER POPULÄRA WEBBPLATSER FÖR ATT ATTACKERA REGERINGAR OCH ANDRA MÅL - TECHCRUNCH - SOCIALA MEDIA - 2019

Anonim

Det finns bevis för att hackare använder populära webbplatser för att attackera myndigheter, icke-statliga organisationer och andra cyberspionagemål med alltmer subtila insuranser.

Det är enligt resultaten av en ny rapport från säkerhetsföretaget FireEye, som förra månaden avslöjade detaljer om en tioårig cyberkampanj som utförs från Kina mot företag i Asien. Bolagets senaste försändelse lyfter ljus på en annan Kina-baserad hackinggrupp som använde det populära Microsoft-webbforumet TechNet för att fjärraktivera skadlig kod som skulle kunna ge den tillgång till en organisations interna nätverk och eventuellt trovor av privat data.

Programmet - drivs av en grupp som kallas APT17 - har sedan stängts av av Microsoft och FireEye. Det verkade inte utgöra ett hot mot regelbundna användare av webbplatsen, snarare TechNet användes som ett till synes legitimt medium genom vilken gruppen kunde dra spjutarna nödvändigtvis för att infiltrera ett mål.

I grund och botten skulle APT17 - vilket FireEye sade har riktat till likvärdiga myndigheter, icke-statliga organisationer och juridiska företag - i första hand söka malware med en individ inom en målorganisation, kanske med en skadlig fil som levereras via e-post. Om skadlig programvara laddas framgångsrikt kan den utlösas med hjälp av kod som inbäddades i en kommentar kvar på TechNet-forumet.

BLACKCOFFEE, den programvara som APT17 använde för sina brott, kan göra det möjligt för gruppen att utföra en rad aktiviteter, inklusive uppladdning och nedladdning av filer, avslutande processer på en värdmaskin och införande av andra bakdörrkommandon.

Även om kommentarerna själva visade sig vara oanständiga och spammiga, representerade de en mer hemlig metod att lägga en aktiveringskod utan att locka uppmärksamheten hos de interna säkerhetssystemen.

Inbäddning av kodade C2-IP-adresser till en webbplats som TechNet, som ofta besöks av IT-experter över hela världen, gjorde det svårare att upptäcka skadlig aktivitet än att spåra hot från webbplatser som helt har äventyrats för fientliga ändamål. Med andra ord, att besöka en webbplats som TechNet regelbundet sannolikt inte kommer att väcka larm som vanlig trafik till obekanta webbplatser som finns i Ryssland, till exempel.

"Denna ytterligare förvirring sätter ännu ett lager mellan APT17 och säkerhetspersonal som försöker att jaga dem, säger FireEye i sin rapport.

I slutändan kontaktade FireEye Microsoft, som låste koncernens konton på TechNet, men det sa att den här strategin - vilken "få säkerhetsföretag har offentligt diskuterat" - kommer sannolikt att bli vanligare eftersom cyberspionageteknik utvecklas i sofistikering.

"Organisationer kommer att behöva ny teknik för att upptäcka dessa attacker", säger Bryce Boland, FireEye APAC CTO, i en intervju. Fallet är en påminnelse om att organisationer med "högkritiska miljöer inte borde tillåta att människor får innehåll från internet".

Men det är inte bara på företag att hantera sitt nätverk, säger Boland, webbplatser som tillåter användargenererat innehåll - inklusive sociala nätverk - bör också vara försiktiga.

"Du tittar på många webbplatser och det nonsens som folk postar i kommentarsektioner, men trodde du någonsin att det var så dåligt att det kunde bli en angripare som letade efter ett intrång?" han lade till.