Chinese hackers misbruiken Microsoft TechNet
Forum blijkt tussenstation in malware-verspreiding.
Het populaire forum voor beheerders blijkt onderdeel van de Command&Control infrastructuur van een groep Chinese hackers.
Chinese hackers misbruiken Microsoft TechNet
Het populaire forum voor beheerders blijkt onderdeel van de Command&Control infrastructuur van een groep Chinese hackers.
Microsoft's TechNet-site is een tijd gebruikt al verkapte commandocentrale van APT17, een beruchte groep Chinese hackers die het voorzien heeft op Westerse overheden, industrie en bedrijven. Dat ontdekte FireEye.
Het forum, dat vooral door Windows-beheerders wordt gefrequenteerd, was zelf niet gehacked. De hackers bleven juist onder de radar door normale accounts aan te maken en reacties te posten. Deze reacties bevatten echter gecodeerde instructies en adressen van de daadwerkelijke C&C-servers.
(Computers die reeds besmet waren met de BlackCoffee-malware haalde zo via het TechNet-forum nieuwe instructies op voor extra malwaremodules of exfiltratie van staats- of bedrijfsgeheimen. TechNet functioneerde zo als onschuldig ogend gecodeerd tussenstation, waardoor de locatie van de C&C-servers sluw kon worden verhuld. TechNet is niet het eerste slachtoffer van deze truc, ook Twitter en Google Docs worden hier regelmatig voor misbruikt.
Steganografie dus eigenlijk. Ik vermoed al een hele tijd dat dit forum er ook voor wordt misbruikt. Ja ja, ... ik ben natuurlijk de meest verdachte persoon.
Mja, die hackers kunnen dan niet (stekker van landen uit ams-ix e.d.) binnen komen via een nl , de, uk enz. ip nummer...
Sneaky methode, maar natuurlijk toepasbaar op elk type forum.
Maar ik denk niet dat enige beveiliger hier rekening mee heeft gehouden.
Het is dat China belangrijk is voor de economie, anders zou je zeggen, trek het stekkertje van China eruit bij de AMS-IX en je bent klaar.
Iets met net "netneutraliteit" laten we dan maar even achter wegen.....
En wat doen met de Russische hackers, Extreme Islamische hackers... enz enz?
Gaan we politie spelen op de AMS-IX?
Wie bepaald wie we gaan blockeren, of wie niet?
Voor wat netneutraliteit betreft heeft het geen invloed m.i. je blokkeert geen dienst je blokkeert een vreemde mogendheid die bezig is een aanval uit te voeren op waardevolle doelen binnen je eigen landsgrenzen.
Ik vindt dat we als land onszelf mogen verdedigen tegen een oorlogsdaad van zo'n vreemde mogendheid.
AMS-IX gaat wat ver, maar je mag je als bedrijf denk ik wel afvragen of China of Rusland serieuze bezoekers voor je zijn. Anders alles van daar blocken.
In mijn 15 jaar als hoster heb ik denk ik nog nooit een zinvolle posting of reactie gehad met een daaruit afkomstig IP.
Morgen SED,
Er zijn in China en Rusland zat Nederlandse IT'ers die van Technet gebruik maken. Oplossing om een Site te sluiten voor verkeer vanuit bepaalde landen is, naar mijn bescheiden mening, een beetje het kind met het badwater weggooien.
Neem persoonlijk aan dat de gecodeerde instructies en adressen van de daadwerkelijke C&C-servers die embedded zijn in reacties op websites als zodanig herkenbaar zijn. Dat soort postings zouden dus gewoon makkelijk herkend en geblokkeerd kunnen worden.
Ik schrijf ook: "...je mag je als bedrijf denk ik wel afvragen of China of Rusland serieuze bezoekers voor je zijn"
Dus als jij als jij als bedrijf vindt dat je deze bezoekers wel wil kunnen bedienen, dan zul je iets anders moeten verzinnen.
Ik heb bijvoorbeeld heel veel MKB-klanten met enkel een Nederlandstalige site. Nou, eerlijk gezegd denk ik dat ik niemand kwaad doe als ik al het verkeer dat niet uit Nederland komt naar hen gewoon block.
Ik doe dat natuurlijk niet.... Maar ik geloof dat ik daar in 15 jaar geen klacht over gehad zou hebben.
Besides Sed,
Hoe groot is de kans dat gebruikers in Rusland of o.a. China, beperkt worden in hun internetgebruik en zich dus bedienen van een proxy om toch buiten de genoemde landen te geraken. Het kan best zijn dat jij als hoster wel degelijk verkeer uit die landen hebt mogen ontvangen, maar dat deze rerouted was via via.
Dit zullen deze 'hackers' ook doen. Ze zijn natuurlijk niet achterlijk.
Ok, ik ga behalve dit inhoudelijk nog meer reageren hoor, maar nu even geen tijd.
Ik denk dat ik wat deze opmerking betreft kort kan zijn: Ik herhaal mijn standpunt: In mijn 15 jaar als hoster heb ik denk ik nog nooit een zinvolle posting of reactie gehad met een daaruit afkomstig IP.
Dus wie of wat daar nou achter zit: Het zal mij bedrijfsmatig even worst wezen. Even voor de goeie orde: Ik block dit verkeer niet hoor, maar vraag me wel continu af waarom ik dit niet doe. Reden dus: De nogal betrekkelijke toegevoegde waarde van het verkeer uit China en Rusland.
Klopt helemaal. Daarom heb ik ook dit berichtje doorgezet zodat iedereen ervan weet.
Reageer
Preview