Сьогодні Microsoft захопила десятки шкідливих сайтів, використовуваних групою хакерів «Nickel» з Китаю для націлювання на організації в США і 28 інших країнах світу.
Група хакерів «Nickel» націлилася на організації як у приватному, так і в державному секторі. Зокрема, на дипломатичні організації та міністерства закордонних справ у Північній Америці, Центральній Америці, Південній Америці, Карибському басейні, Європі та Африці. Про це повідомив Том Берт, корпоративний віцепрезидент з безпеки клієнтів і довіри Microsoft. Вважається, що ці атаки, здебільшого, використовувалися для збору розвідданих від урядових агенцій, аналітичних центрів та правозахисних організацій.
Група хакерів «Nickel» збирала дані і відстежувала дії
Microsoft змогла відключити інфраструктуру «Nickel» після того, як Окружний суд Східного округу штату Вірджинія виніс ухвалу за скаргою, поданою 2 грудня. Згідно з ухвалою суду (яка також містить список заарештованих сайтів) домени були перенаправлені «на захищені сервери шляхом зміни авторитетних серверів імен на «NS104a.microsoftintemetsafety.net» та «NS104b.microsoftintemetsafety.net». Підрозділ Microsoft Digital Crimes Unit (DCU) вперше виявив групу загроз, що стоїть за цими шкідливими доменами у 2016 році. З 2019 року вони були націлені на державні установи в Латинській Америці та Європі.
Кінцева мета «Nickel» – розгорнути шкідливе програмне забезпечення на скомпрометованих серверах, що дозволяє хакерам відстежувати дії своїх жертв. Зокрема, збирати дані і передавати їх на сервери, що є під їхнім контролем.
Ці хакери, що підтримуються Китаєм, використовують скомпрометованих сторонніх постачальників VPN (віртуальних приватних мереж). А також облікові дані, вкрадені в цільових фішингових кампаніях, і уразливості, націлені на незахищені локальні сервери Exchange Server і SharePoint для зламування мереж своїх жертв. Нещодавно стало відомо, що безкоштовний VPN-сервіс розкриває особисту інформацію мільйонів користувачів.
У березні 2020 року Microsoft взяла під свій контроль інфраструктуру в США, яку спам-ботнет Necurs використав для поширення шкідливих програм та зараження мільйонів комп’ютерів. За 58 днів існування він надіслав близько 3.8 млн спам-повідомлень більш ніж 40.6 млн цілей.
В грудні 2019 року Microsoft також подала до суду на пов’язану з Північною Кореєю групу кібершпигунства «Thallium». А також захопила 50 доменів, які є частиною інфраструктури цієї хакерської групи. А в серпні 2018 року Microsoft подала 15 аналогічних позовів проти підтримуваної Росією групи Strontium (також відомої як Fancy Bear або APT28). Внаслідок чого було вилучено 91 шкідливий домен.