Microsoft, infiltrazioni cracker

Sui forum di assistenza di TechNet si nascondevano istruzioni destinate alle macchine infette. Opportunamente offuscate, vengono disseminate su domini insospettabili, mascherate da ordinari commenti

Roma – Sfruttavano i forum di assistenza dedicati ai prodotti Microsoft per impartire istruzioni alle macchine infettate da malware: la security company FireEye ha collaborato con Redmond per rimuovere la minaccia, e ha colto l’occasione per fare luce su certe pratiche che i cybercriminali adottano per perseguire i loro scopi ai danni di utenti, istituzioni e ONG di mezzo mondo.

Il gruppo all’origine dell’attacco, localizzato in Cina, è stato classificato con il codice APT17, altresì noto come Deputy Dog: fin dal 2013 basa la proprie attività sul malware BLACKCOFFEE, backdoor che consente di agire sui sistemi delle vittime per monitorarne le attività, avviare e interrompere processi, manipolare file. È sul portale dedicato all’assistenza di Microsoft, TechNet, che venivano nascosti gli indirizzi IP dei server di comando e controllo usati per gestire le intrusioni sulle macchine contaminate dal malware.

I cracker hanno agito registrando degli account sui forum di Microsoft e postando dei commenti nei thread dedicati all’assistenza: mascherati da ordinari utenti, disseminavano commenti apparentemente privi di senso, che fra le stringhe “@MICROSOFT” e “CORPORATION” contenevano gli indirizzi IP opportutamente offuscati. Era il malware già inoculato sulle macchine delle vittime a indirizzare gli utenti ai forum Microsoft dove risiedevano gli indirizzi IP in codice, pronti per essere interpretati dal malware stesso al fine di aprire un canale di comunicazione che permetteva al gruppo di gestire l’attacco.

La tattica adottata dai cracker di APT17, sottolinea FireEye, appare già ampiamente diffusa: il traffico rilevato sulle macchine delle vittime verso siti come TechNet non insospettisce gli amministratori e i tecnici che si occupano di sicurezza, e contribuisce a complicare le ricostruzioni riguardo all’origine delle minacce. La security company e Microsoft si sono già adoperate per ripulire i forum dalle minacce, ma FireEye ha rilevato che istruzioni offuscate a servizio del malware sono disseminate anche su altri siti che incoraggiano alla partecipazione degli utenti, da Twitter a Google Docs, passando per Facebook: spetterebbe anche ai responsabili di queste piattaforme vigilare, ammonisce l’azienda, così da non prestare supporto alle attività dei malintenzionati.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • AntiPiddino scrive:
    Ma XXXXXXXXXXXX, inutile marchetta
    Che XXXXX c'entri il "job's act" renziano (licenziamenti liberi abolendo l'art.18) con quello che vuole fare facebook (salario minimo a 15 dollari l'ora) lo sa solo tamburrino. Del resto, come diceva mourinho: il giornalismo italiano è prostituzione intellettuale. Questo articolo ne è la prova.
  • antiPiddino scrive:
    Trogloditi piddini
    Ma che XXXXX c'entra il "job's act" di renzi (libertà di licenziamento come negli USA senza tutele) col salario minimo a 15 dollari l'ora che facebook vuole dare ai contractors? Mescolate due robe che non c'entrano un XXXXX! Ma magari in Italia il salario orario minimo venisse portato a 15 dollari / 13 euro!Voi di PI siete proprio delle marchette, date via il XXXX per 80 euro, pure le puttane rumene costano più di voi. Come diceva mourinho: il "giornalismo" italiano è prostituzuione intellettuale!
Chiudi i commenti