Microsoft zei dat het de controle heeft overgenomen over servers die een in China gevestigde hackgroep gebruikte om doelen te compromitteren die aansluiten bij de geopolitieke belangen van dat land.
De hackgroep, die Microsoft Nickel heeft genoemd, is in ieder geval sinds 2016 in het vizier van Microsoft, en het softwarebedrijf volgt de nu verstoorde campagne voor het verzamelen van inlichtingen sinds 2019. De aanvallen – tegen overheidsinstanties, denktanks en menselijke rechtenorganisaties in de VS en 28 andere landen – waren “zeer geavanceerd”, zei Microsoft, en gebruikten een verscheidenheid aan technieken, waaronder het misbruiken van kwetsbaarheden in software die het doelwit nog moest patchen.
Beneden maar niet uit
Eind vorige week vroeg Microsoft om een gerechtelijk bevel om beslag te leggen op websites die Nickel gebruikte om doelwitten te compromitteren. De rechtbank, in de Amerikaanse districtsrechtbank voor het oostelijke district van Virginia, heeft de vordering toegewezen en het bevel op maandag ontgrendeld. Met de controle over de infrastructuur van Nickel zal Microsoft nu het verkeer ‘verzinken’, wat inhoudt dat het wordt omgeleid van de servers van Nickel en naar door Microsoft beheerde servers, die de dreiging kunnen neutraliseren en Microsoft in staat stellen informatie te verkrijgen over hoe de groep en haar software werken.
“Door controle te krijgen over de kwaadaardige websites en het verkeer van die sites om te leiden naar de beveiligde servers van Microsoft, kunnen we bestaande en toekomstige slachtoffers beschermen terwijl we meer te weten komen over de activiteiten van Nickel”, schreef Tom Burt, de corporate vice-president van klantbeveiliging en -vertrouwen. blogpost. “Onze verstoring zal Nickel er niet van weerhouden om andere hackactiviteiten voort te zetten, maar we geloven wel dat we een belangrijk onderdeel van de infrastructuur hebben verwijderd waar de groep op vertrouwde voor deze laatste golf van aanvallen.”
Gerichte organisaties omvatten die in zowel de private als de publieke sector, inclusief diplomatieke entiteiten en ministeries van buitenlandse zaken in Noord-Amerika, Midden-Amerika, Zuid-Amerika, het Caribisch gebied, Europa en Afrika. Vaak was er een verband tussen de doelen en geopolitieke belangen in China.
Gerichte organisaties waren gevestigd in andere landen, waaronder Argentinië, Barbados, Bosnië en Herzegovina, Brazilië, Bulgarije, Chili, Colombia, Kroatië, Tsjechië, Dominicaanse Republiek, Ecuador, El Salvador, Frankrijk, Guatemala, Honduras, Hongarije, Italië, Jamaica, Mali , Mexico, Montenegro, Panama, Peru, Portugal, Zwitserland, Trinidad en Tobago, het Verenigd Koninkrijk en Venezuela.
Namen die andere beveiligingsonderzoekers voor Nickel gebruiken, zijn ‘KE3CHANG’, ‘APT15’, ‘Vixen Panda’, ‘Royal APT’ en ‘Playful Dragon’.
Meer dan 10.000 sites offline gehaald
De juridische actie van Microsoft vorige week was de 24e rechtszaak die het bedrijf heeft aangespannen tegen bedreigingsactoren, waarvan er vijf door het land werden gesponsord. De rechtszaken hebben geleid tot de verwijdering van 10.000 kwaadaardige websites die worden gebruikt door financieel gemotiveerde hackers en bijna 600 sites die worden gebruikt door nationale hackers. Microsoft heeft ook de registratie geblokkeerd van 600.000 sites die hackers van plan waren te gebruiken bij aanvallen.
In deze rechtszaken heeft Microsoft een beroep gedaan op verschillende federale wetten, waaronder de Computer Fraud and Abuse Act, de Electronic Communications Privacy Act en de Amerikaanse handelsmerkwet, als een manier om beslag te leggen op domeinnamen die worden gebruikt voor command-and-control-servers. Juridische acties leidden in 2012 tot de inbeslagname van infrastructuur die werd gebruikt door de door het Kremlin gesteunde hackgroep Fancy Bear en door door het land gesponsorde aanvalsgroepen in Iran, China en Noord-Korea. De softwaremaker heeft ook rechtszaken gebruikt om botnets met namen als Zeus, Nitol, ZeroAccess, Bamatal en TrickBot te verstoren. Een juridische actie die Microsoft in 2014 ondernam, leidde tot de verwijdering van meer dan een miljoen legitieme servers die afhankelijk zijn van No-IP.com, waardoor grote aantallen gezagsgetrouwe mensen geen goedaardige websites konden bereiken. Microsoft werd bitter gehekeld voor de verhuizing.
