Sembrerebbe che all'interno dei forum di assistenza di TechNet si celassero modalità dettagliate con tanto di tutorial, dirette alle macchine che erano state oggetto dell'attacco malevolo. Immediatamente si è provveduto ad offuscarle, in qunto che si sarebbero sparse in men che non si dica su domini insospettabili, dietro innoqui commenti.
Proprio cosi, pare che dietro innoqui commenti lasciti su post dei forum dedicati all'assistenza dei clienti riguardo i vari prodotti Microsoft, al fine di fare pervenire dettagliate istruzioni direttamente alle macchine che erano state oggeto dell'attacco malevolo di cracker, una tipologia di malware molto virale.
Immediatamente si è provveduto ad oscurare i forum in questione e grazie alla collaborazione della security company FireEye, Microsoft ha potuto provvedere ad intercettare e rimuovere l'infezione approfittando dell'occasione per cercare di capire meglio il funzionamento di certe pratiche che i cybercriminali fanno uso recentemente per perseguire i loro loschi scopi, causando danni notevoli ad utenti, istituzioni e ONG di mezzo mondo.
Il gruppo di criminali cyber che è stato responsabile dell'attacco, è stato identificato in Cina, la sua classificazione è stata attribuita con il codice APT17, meglio conosciuto come Deputy Dog. Andando a ritroso nel tempo di circa un paio di anni addietro, nel 2013 pare che tale attacco criminale fondi le proprie attività esclusivamente malware BLACKCOFFEE, backdoor che da la possibilità di potere muoversi indisturbati sui sistemi dei malcapitati al fine di averne il controllo delle attività, avviare e interrompere processi, mutare file.
tale azione è riuscita a penetrare perfino il portale che Microsoft ha dedicato per fornire assistenza ai propri utenti, TechNet, dove si provvedava di nascondere gli indirizzi IP dei server di comando e controllo usati per gestire le intrusioni sulle macchine contaminate dal malware. I cracker si sono potuti muovere indisturbati riuscendo a registrare gli account sui forum di Microsoft e sfruttando lo spazio dedicato ai commenti ed all'assitenza nei thread. Dietro mentite sembianze di ordinari utenti, spammavano commenti in apparenza senza alcun senso logico, che fra le stringhe "@MICROSOFT" e "CORPORATION" contenevano gli indirizzi IP opportutamente offuscati.
 |
| Il blog ufficiale Microsoft sotto attacco Cracker |
La security company e Microsoft si sono già adoperate per ripulire i forum dalle minacce, ma FireEye ha rilevato che istruzioni offuscate a servizio del malware sono disseminate anche su altri siti che incoraggiano alla partecipazione degli utenti, da Twitter a Google Docs, passando per Facebook: spetterebbe anche ai responsabili di queste piattaforme vigilare, ammonisce l'azienda, così da non prestare supporto alle attività dei malintenzionati.
Nessun commento:
Posta un commento