Cyberspionnen hebben Microsoft TechNet gebruikt voor de besturing van besmette computers. TechNet is een portaal van Microsoft waar IT-professionals allerlei informatie en documentatie voor Microsoft-producten kunnen vinden. Ook is er een forum aanwezig voor het stellen van vragen.
Een groep cyberspionnen die volgens het Amerikaanse beveiligingsbedrijf FireEye vanuit China opereerde gebruikte TechNet voor het besturen van besmette computers. In forumtopics en profielen waren gecodeerde IP-adressen verborgen. De besmette computers maakten verbinding met TechNet en konden zo het IP-adres achterhalen waarmee ze vervolgens verbinding moesten maken.
Dit zou het lastig voor netwerkbeheerders maken om een eventuele infectie te ontdekken of de werkelijke locatie te achterhalen van de Command & Control-server die de besmette computers aanstuurde. FireEye merkt op dat TechNet zelf niet is gehackt, maar er gewoon op een openbaar forum informatie werd geplaatst. Het gebruik van bekende websites zoals Twitter, Evernote en Dropbox door malware komt al langer voor.
Nadat FireEye en Microsoft de tactiek van de aanvallers hadden ontdekt werden de IP-adressen in de forumtopics en profielen door IP-adressen van de Amerikaanse bedrijven vervangen. Daarnaast werden de forumaccounts vergrendeld zodat de cyberspionnen de aangepaste IP-adressen niet meer konden wijzigen. Op deze manier konden FireEye en Microsoft de slachtoffers van deze spionagecampagne in kaart brengen. Hoeveel organisaties slachtoffer van deze groep werden en hoe ze geïnfecteerd raakten laat het beveiligingsbedrijf niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.