Microsoftowi udało się (już nie po raz pierwszy zresztą) doprowadzić do przejęcia i zamknięcia stron używanych przez cyberprzestępców. Dziś odtajnione zostały dokumenty sądowe, które opisują pracę wykonaną przez Microsoft Digital Crimes Unit, by przeszkodzić grupie znanej jako Phosphorus, APT 35, Charming Kitten lub Ajax Security Team i powiązanej z irańskimi hakerami.
W toku sprawy Microsoftu przeciwko Phosphorusowi sąd pozwolił firmie przejąć kontrolę nad 99 witrynami, których grupa używała, by kierować swoimi operacjami. Do wydarzeń tych doszło w zeszłym tygodniu. Na skutek działań Microsoftu strony te nie będą mogły być już używane do wykonywania ataków. Microsoft Digital Crimes Unit (DCU) oraz Microsoft Threat Intelligence Center (MSTIC) śledziły grupę od 2013 roku. Jej celem było głównie uzyskiwanie dostępu do systemów komputerowych firm i agencji rządowych oraz wykradanie wrażliwych informacji. Ofiarą padali też aktywiści i dziennikarze, zwłaszcza ci zaangażowani w opisywanie problemów na Bliskim Wschodzie.
Często używaną przez hakerów metodą był spear-phishing, polegający na zachęcaniu (poprzez socjotechnikę) do klikania w fałszywe linki, często zamaskowane w komunikatach pochodzących jakoby od przyjaznych kontaktów w mediach społecznościowych. Linki prowadziły do złośliwego oprogramowania dającego Phosphorusowi dostęp do komputerów ofiar. Phosphorus rozsyłał też maile o zagrożonym bezpieczeństwie kont ofiar i prosił w nich o wpisanie danych logowania do formularza. Obie metody ataków zakładały użycie witryn, które zawierały nazwy znanych marek, takich jak Microsoft, by uzyskać autentyczność. Witryny zarejestrowane przez Phosphorusa to przykładowo outlook-verify.net, yahoo-verify.net, verification-live.com i myaccount-services.net.
Podczas gdy używaliśmy codziennego śledzenia poprzez analitykę bezpieczeństwa, by zatrzymywać indywidualne ataki Phosphorusa i powiadamiać dotkniętych klientów, akcja, którą podjęliśmy w zeszłym tygodniu, umożliwiła nam przejęcie kontroli nad witrynami, które są kluczowe dla tych operacji. Nasza praca, polegająca na śledzeniu Phosphorusa przez kilka lat i obserwowaniu jego aktywności, umożliwiła nam wytoczyć decydującą sprawę sądową i wykonać zeszłotygodniową akcję, mając pewność, że możemy mieć znaczący wpływ na infrastrukturę grupy.
– Tom Burt CVP Customer Security & Trust, Microsoft
W wyniku akcji Microsoft przejął kontrolę nad 99 witrynami i przekierował ruch z zainfekowanych urządzeń do sinkhole'u w Digital Crime Unit. Zebrane w nim dane zostaną dodane do bazy wiedzy MSTIC i udostępnione produktom i usługom chroniącym Microsoftu, by usprawniły ich możliwości wykrywania i ochrony. Działania z użyciem podobnych środków Microsoft przeprowadzał już wcześniej przeciwko grupie Strontium. Gigantowi pomagali partnerzy technologiczni, w tym Yahoo, którzy dzielili się informacjami o zagrożeniach i wspólnie zatrzymywali ataki.