В своем официальном блоге Microsoft рассказала об успешном завершении дела в суде по перехвату 99 доменов, которые использовались для кибератак группой иранских хакеров, известных как Phosphorus, APT 35, CharmingKitten и Ajax Security Team. Окружной суд штата Вашингтон выдал разрешение на владение 99 доменами подразделению Microsoft Digital Crimes Unit, которое занимается расследованием киберпреступлений, а также Microsoft Threat Intelligence Center (MSTIC). Софтверный гигант занимался отслеживанием хакеров с 2013 года. Их основной «деятельностью» была кража конфиденциальной информации на предприятиях и в госучреждениях, а также атаки на индивидуальных пользователей, вроде активистов или журналистов, особенно тех, кто связан с проблемами Среднего Востока.

Обычно группировка Phosphorus использовала фишинг для получения конфиденциальной информации, вроде логинов и паролей, путем распространения поддельных ссылок с фейковых учетных записей в социальных сетях. Хакеры выдавали себя за друзей жертвы, пытаясь заставить ее кликнуть на сгенерированную ссылку. Также в арсенал группировки входили электронные письма, рассылаемые под видом сервисных уведомлений популярных брендов о необходимости сменить пароль от учетной записи. Письмо перенаправляло жертву на поддельный сайт, который в свою очередь собирал данные по входу и давал возможность успешно взломать учетную запись или компьютер.

Оба способа предусматривают использование поддельных доменов, которые неопытному пользователю могут показаться настоящими сайтами, принадлежащими брендам, вроде Microsoft, Yahoo и так далее. Кпримеру, outlook-verify.net, yahoo-verify.net, verification-live.com, myaccount-services.net и так далее.

Хотя Microsoft активно участвовала в отслеживании и предотвращении индивидуальных атак, а также пыталась защитить и помочь отдельным жертвам, перехват сотни доменов стал куда большей победой для Microsoft. Это позволило компании прикрыть «ядро» деятельности Phosphorus. Теперь траффик с этих сайтов будет перенаправляться на заглушку DigitalCrimeUnit, а данные, собранные с нее, будут использоваться для улучшения систем обнаружения и предотвращения атак в дальнейшем.

На протяжении шести лет отслеживания группировки хакеров Microsoft сотрудничала с рядом других компаний, вроде Yahoo, чтобы делиться с ними информацией о расследовании и совместно работать над снижением вероятности повторных атак. В своем блоге Microsoft поблагодарила эти компании и отметила, что связалась со всеми брендами, имена которых были в списке доменов. Все эти компании дали Microsoft разрешение на переадресацию трафика.

Это уже не первый случай, когда Microsoft прикрывает фейковые домены, использующиеся для фишинга. Подобный подход Microsoft использовала уже 15 раз для перехвата 91 домена, связанного с другой группировкой под названием Strontium.

Источник: Microsoft.