Microsoft s’empare des domaines utilisés par des hackers « très sophistiqués » en Chine


Une carte mère a été photoshopée pour inclure un drapeau chinois.
Agrandir / Puce d’ordinateur avec drapeau chinois, illustration conceptuelle 3d.

Microsoft a déclaré avoir pris le contrôle des serveurs qu’un groupe de piratage informatique basé en Chine utilisait pour compromettre des cibles qui correspondent aux intérêts géopolitiques de ce pays.

Le groupe de piratage, que Microsoft a surnommé Nickel, est dans le collimateur de Microsoft depuis au moins 2016 et la société de logiciels suit la campagne de collecte de renseignements désormais interrompue depuis 2019. Les attaques contre les agences gouvernementales, les groupes de réflexion et les humains organisations de défense des droits aux États-Unis et dans 28 autres pays – étaient « très sophistiquées », a déclaré Microsoft, et utilisaient diverses techniques, notamment l’exploitation des vulnérabilités des logiciels que les cibles n’avaient pas encore corrigées.

En bas mais pas dehors

À la fin de la semaine dernière, Microsoft a demandé une ordonnance du tribunal pour saisir les sites Web que Nickel utilisait pour compromettre des cibles. Le tribunal, au sein du tribunal de district américain du district oriental de Virginie, a accueilli la requête et descellé l’ordonnance lundi. Avec le contrôle de l’infrastructure de Nickel, Microsoft va désormais « goupiller » le trafic, ce qui signifie qu’il est détourné des serveurs de Nickel et vers des serveurs exploités par Microsoft, ce qui peut neutraliser la menace et permettre à Microsoft d’obtenir des informations sur le fonctionnement du groupe et de ses logiciels.

« Prendre le contrôle des sites Web malveillants et rediriger le trafic de ces sites vers les serveurs sécurisés de Microsoft nous aidera à protéger les victimes existantes et futures tout en en apprenant plus sur les activités de Nickel », a écrit Tom Burt, vice-président de la sécurité et de la confiance des clients de l’entreprise, dans un communiqué. article de blog. “Notre perturbation n’empêchera pas Nickel de poursuivre d’autres activités de piratage, mais nous pensons avoir supprimé un élément clé de l’infrastructure sur laquelle le groupe s’appuyait pour cette dernière vague d’attaques.”

Les organisations ciblées comprenaient celles des secteurs privé et public, y compris les entités diplomatiques et les ministères des Affaires étrangères d’Amérique du Nord, d’Amérique centrale, d’Amérique du Sud, des Caraïbes, d’Europe et d’Afrique. Souvent, il y avait une corrélation entre les cibles et les intérêts géopolitiques en Chine.

Les organisations ciblées étaient situées dans d’autres pays, notamment l’Argentine, la Barbade, la Bosnie-Herzégovine, le Brésil, la Bulgarie, le Chili, la Colombie, la Croatie, la République tchèque, la République dominicaine, l’Équateur, le Salvador, la France, le Guatemala, le Honduras, la Hongrie, l’Italie, la Jamaïque, le Mali , Mexique, Monténégro, Panama, Pérou, Portugal, Suisse, Trinité-et-Tobago, Royaume-Uni et Venezuela.

Les noms que d’autres chercheurs en sécurité utilisent pour Nickel incluent « KE3CHANG », « APT15 », « Vixen Panda », « Royal APT » et « Playful Dragon ».

Plus de 10 000 sites supprimés

L’action en justice de Microsoft la semaine dernière était la 24e action en justice intentée par la société contre des acteurs menaçants, dont cinq étaient parrainés par le pays. Les poursuites ont abouti au retrait de 10 000 sites Web malveillants utilisés par des pirates informatiques à motivation financière et de près de 600 sites utilisés par des pirates informatiques d’États-nations. Microsoft a également bloqué l’enregistrement de 600 000 sites que les pirates avaient prévu d’utiliser dans des attaques.

Dans ces poursuites, Microsoft a invoqué diverses lois fédérales, notamment le Computer Fraud and Abuse Act, l’Electronic Communications Privacy Act et la loi américaine sur les marques, comme moyen de saisir les noms de domaine utilisés pour les serveurs de commande et de contrôle. Des actions en justice ont conduit à la saisie en 2012 des infrastructures utilisées par le Kremlin soutenu Groupe de piratage Fancy Bear ainsi que des groupes d’attaque parrainés par la nation en Iran, en Chine et en Corée du Nord. Le fabricant de logiciels a également utilisé des poursuites pour perturber les botnets portant des noms comme Zeus, Nitol, ZéroAccès, Bamatal, et TrickBot. Une action en justice engagée par Microsoft en 2014 a entraîné le retrait de plus d’un million de serveurs légitimes qui reposent sur No-IP.com, empêchant ainsi un grand nombre de personnes respectueuses de la loi d’accéder à des sites Web bénins. Microsoft était amèrement fustigé pour le déménagement.



Source link