Microsofts nettsted Technet, som samler ressurser for profesjonelle brukere av selskapets produkter, ble brukt i som et depot i et angrep fra kinesiske hackere, skriver PC World.
De ansvarlige kalles for APT 17 (APT står for advanced, persistent threats) av sikkerhetsforskerne i FireEye, og skal være den samme gruppen som tidligere har utført angrep på flere betydelige amerikanske aktører, inkludert regjering og forsvar.
Laget falske profiler
Gruppen skal ha opprettet kontoer hos Technet, lagt igjen kommentarer i diskusjonsgrupper der, og på denne måten tvunget inn konfigurasjonsfiler som brukes for å styre datamaskiner som allerede er infisert med skadevaren BLACKCOFFEE.
Kommentarene skal ha inneholdt navn til et domene som de infiserte maskinene da kontaktet.
Frykten for mobil skadevare er overdrevet, mener noen.
Deretter ble maskinene automatisk koblet opp mot såkalte «command and control»-servere som er en del av infrastrukturen til APT 17.
Denne metoden skal være ofte brukt av hackere - et respektabelt domene som Technet er godt egnet som utgangspunkt til slik videresending til tredjeparts-servere.
Det kan også være vanskelig å spore den faktiske lokasjonen til CnC-serverne og dermed kan de forbli aktive lenger.
Skadevaren, BLACKCOFFEE, hart vært benyttet av APT 17 siden 2013.
Ryddet opp
Man har tidligere sett lignende angrep knyttet til andre anerkjente domener som Google Docs og Twitter. Microsoft skal ha samarbeidet med FireEye om å erstatte de utsatte domenene inne på Technet med domener kontrollert av dem selv, noe som gav dem innsikt i problemet. Technet skal nå være ryddet for den skadelige koden, og Microsoft skal ha sluppet oppdateringer til sine anti-skadevare-produkter. De påpeker også at selve Technet ikke ble angrepet, bare brukt som en mellomstasjon som førte brukerne videre.
