Jonathan Greig er en journalist basert i New York City. Han returnerte nylig til USA etter å ha rapportert fra Sør-Afrika, Jordan og Kambodsja siden 2013.
Full Bio 6. desember 2021 | Emne: Microsoft
Microsoft har annonsert beslagleggelsen av dusinvis av domener brukt i angrep fra den Kina-baserte APT-gruppen Nickel på regjeringer og frivillige organisasjoner over hele Europa, Amerika og Karibia.
I to blogginnlegg publisert på mandag sa Microsofts visepresident Tom Burt, Microsoft Digital Crimes Unit og Microsoft Threat Intelligence Center at de har sporet nikkel siden 2016, og at en føderal domstol i Virginia ga selskapets forespørsel om å beslaglegge nettsteder gruppen brukte til å angripe organisasjoner i USA og andre land.
Burt forklarte at den 2. desember anla selskapet søksmål i den amerikanske distriktsdomstolen for det østlige distriktet i Virginia som ville tillate dem å “avskjære Nickels tilgang til ofrene og forhindre at nettsidene ble brukt til å utføre angrep.”
“Vi tror disse angrepene i stor grad ble brukt til etterretningsinnhenting fra offentlige etater, tenketanker og menneskerettighetsorganisasjoner,” sa Burt.
“Retten ga raskt en kjennelse som ble opphevet i dag etter fullføring av tjenesten på vertsleverandørene. Å få kontroll over de ondsinnede nettstedene og omdirigere trafikk fra disse nettstedene til Microsofts sikre servere vil hjelpe oss med å beskytte eksisterende og fremtidige ofre samtidig som vi lærer mer om Nickels aktiviteter . Avbruddet vårt vil ikke hindre Nickel i å fortsette andre hackingaktiviteter, men vi tror vi har fjernet en viktig del av infrastrukturen gruppen har vært avhengig av for denne siste bølgen av angrep.”
Microsoft
Angrepene – som involverte innsetting av vanskelig å oppdage skadelig programvare som muliggjorde inntrenging, overvåking og datatyveri – rettet mot organisasjoner i Argentina, Barbados, Bosnia-Hercegovina, Brasil, Bulgaria, Chile, Colombia, Kroatia, Tsjekkia, Den dominikanske republikk, Ecuador, El Salvador, Frankrike, Guatemala, Honduras, Ungarn, Italia, Jamaica, Mali, Mexico, Montenegro, Panama, Peru, Portugal, Sveits, Trinidad og Tobago, Storbritannia, USA og Venezuela.
Microsoft Threat Intelligence Center fant at noen ganger var Nickel i stand til å kompromittere VPN-leverandører eller få stjålet legitimasjon, mens de i andre tilfeller utnyttet uoppdaterte Exchange Server- og SharePoint-systemer.
Selskapet bemerket at ingen nye sårbarheter i Microsoft-produkter ble brukt som en del av angrepene. Men når angripere var inne i et nettverk, lette de etter måter å få tilgang til kontoer med høyere verdi eller andre fotfester i systemet på. Microsoft sa at de så Nickel-skuespillere bruke Mimikatz, Wdigest, NTDSDump og andre passorddumpingverktøy under angrep.
“Det er ofte en sammenheng mellom Nickels mål og Kinas geopolitiske interesser. Andre i sikkerhetsmiljøet som har forsket på dette En gruppe skuespillere refererer til gruppen med andre navn, inkludert 'KE3CHANG', 'APT15', 'Vixen Panda', 'Royal APT' og 'Playful Dragon',” forklarte Burt.
“Nasjonalstatsangrep fortsetter å spre seg i antall og sofistikerte. Målet vårt i dette tilfellet, som i våre tidligere forstyrrelser som var rettet mot Barium, som opererer fra Kina, Strontium, som opererer fra Russland, Fosfor, som opererer fra Iran, og Thallium, som opererer fra nord Korea, er å ta ned ondsinnet infrastruktur, bedre forstå aktørtaktikker, beskytte kundene våre og informere den bredere debatten om akseptable normer i cyberspace.”
Burt la til at så langt har Microsoft anlagt 24 søksmål som tillot dem å fjerne mer enn 10 000 ondsinnede nettsteder fra nettkriminelle og nesten 600 fra nasjonalstatsgrupper.
Jake Williams, CTO for BreachQuest, bemerket at teknikkene som brukes av Nickel etter første tilgang er ganske fotgjengere, mens mange av de andre verktøyene er lett tilgjengelige og mye brukt av penetrasjonstestere.
“Selv om NICKEL absolutt har tilgang til verktøy som er langt mer kapable, vender de tilbake til disse vanlige verktøyene fordi de fungerer,” sa Williams. “At disse lett tilgjengelige verktøyene i det hele tatt kan fungere, sier noe om sikkerhetsnivået i målnettverk.”
Sikkerhet
Hackere bruker ny skadelig programvare som skjuler seg mellom blokker med søppelkode Skuringer selger tilgang til hackede nettverk. Ransomware-gjenger er deres største kunder Her er den perfekte gaven for å beskytte alle med en datamaskin Disse forskerne ønsket å teste skysikkerhet. De ble sjokkert over det de fant Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er rammet av løsepengeprogram? Ikke gjør denne første åpenbare feilen Regjeringen | Enterprise Software | Windows | Windows 10 | Samarbeid | Sky