image

Microsoft neemt domeinen van Chinese spionagegroep in beslag

dinsdag 7 december 2021, 10:28 door Redactie, 6 reacties

Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen die volgens het techbedrijf vanuit China opereert. Microsoft noemt de groep Nickel, maar die staat ook bekend KeC\ang, APT15, APT25, Vixen Panda, Royal APT en Playful Dragon. De groep is volgens Microsoft sinds 2016 actief, maar de huidige operaties vinden sinds september 2019 plaats en zijn gericht tegen overheidsinstellingen, denktanks en mensenrechtenorganisaties in 29 landen. Daarbij hebben de aanvallers het vooral voorzien op het verzamelen van inlichtingen.

Voor het uitvoeren van de aanvallen maakt de groep gebruik van spearphishing, gestolen inloggegevens van Microsoft 365-accounts en bekende kwetsbaarheden in Exchange Server, SharePoint en vpn-oplossingen zoals Pulse Secure VPN. Voor zover bekend maakt de groep geen gebruik van zerodaylekken. Zodra er toegang tot systemen is verkregen installeren de aanvallers lastig te detecteren malware voor surveillance en datadiefstal, stelt Microsoft.

Op 2 december stapte Microsoft naar een Amerikaanse rechter met het verzoek om domeinen in beslag te nemen die de groep bij de aanvallen gebruikt. De rechter gaf Microsoft hiervoor toestemming, waarop het techbedrijf de domeinen in beslag nam. Hierdoor heeft Microsoft onder andere zicht op de al door Nickel gemaakte slachtoffers en tactieken van de groep.

"Onze actie zal er niet voor zorgen dat Nickel geen nieuwe aanvallen meer uitvoert, maar we denken dat we een belangrijk onderdeel van de infrastructuur hebben verwijderd waar de groep bij de laatste aanvallen gebruik van maakte", zegt Microsofts Tom Burt. Microsoft zal getroffen organisaties informeren dat ze zijn geïnfecteerd. Slachtoffers van de groep bevinden zich onder andere in Frankrijk, Hongarije, Italië, Portugal, Zwitserland, het Verenigd Koninkrijk en de Verenigde Staten.

Om aanvallen door Nickel te voorkomen adviseert Microsoft onder andere het blokkeren van legacy authenticatieprotocollen in Azure Active Directory, het inschakelen van multifactorauthenticatie om misbruik van gecompromitteerde inloggegevens te voorkomen, Exchange Online policies te controleren en verkeer van anonimiseringsdiensten te blokkeren.

De afgelopen jaren heeft Microsoft via 24 rechtszaken, waarvan vijf tegen statelijke actoren, in totaal meer dan tienduizend door cybercriminelen gebruikte domeinnamen en bijna zeshonderd door statelijke actoren gebruikte domeinnamen uit de lucht gehaald. Verder heeft het techbedrijf naar eigen zeggen de registratie van bijna 600.000 domeinen voor toekomstige criminelen activiteiten geblokkeerd.

Reacties (6)
07-12-2021, 10:39 door Anoniem
goede zaak ms
07-12-2021, 11:03 door walmare
Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen
KLinkt alsof de rechter MS een opdracht heeft gegeven maar Microsoft is zelf naar de rechter gestapt en gaat ook nog op de stoel van de rechter zitten voor de strafmaat: domeinen in beslag nemen.
Het zoveelste bewijs dat MS meekijkt in je spullen? want justitie wist van niks?
Microsoft had toch ook gewoon de accounts kunnen opheffen volgens hun eigen eula?
Waarschijnlijk willen ze die domeinen nog verder uitpluizen om te zien hoe hun infrastructuur is gehackt.
07-12-2021, 14:00 door Anoniem
Door walmare:
Microsoft heeft door middel van een gerechtelijk bevel van een Amerikaanse rechter meerdere domeinen van een spionagegroep in beslag genomen
KLinkt alsof de rechter MS een opdracht heeft gegeven maar Microsoft is zelf naar de rechter gestapt en gaat ook nog op de stoel van de rechter zitten voor de strafmaat: domeinen in beslag nemen.
Het zoveelste bewijs dat MS meekijkt in je spullen? want justitie wist van niks?
Microsoft had toch ook gewoon de accounts kunnen opheffen volgens hun eigen eula?
Waarschijnlijk willen ze die domeinen nog verder uitpluizen om te zien hoe hun infrastructuur is gehackt.
Iets met azijn.....

Maar Microsoft is een hele grote speler op de security markt. Dat mag je niet leuk vinden, maar is wel het geval.
Je klinkt, zie ik niet in de tekst voorbij komen. Misschien denk je iets te veel vanuit je eigenlijk ideeën?
Maar ze doen gewoon een eis en dat heeft niets met de strafmaat te maken. Ze hebben een eis en die is toegekend.

Je BIAS denken laat zich mooi in deze post zien. (sorry)
07-12-2021, 20:04 door Planeten Paultje
MS gaat dus direct in tegen de PRC; moedig.
08-12-2021, 00:11 door Anoniem
Door Anoniem: goede zaak ms

Nou, eigenlijk niet. Microsoft neemt zo bezit van criminele domeinen die zouden moeten worden ingenomen door bijvoorbeeld Interpol of andere internationale opsporingsorganisaties. Dit is mooi weer spelen en eventuele lopende onderzoeken van opsporingsinstanties worden verstoord. Laten we niet vergeten dat Microsoft direct commercieel belang heeft en van het bedrijf is bekend dat het op grote schaal data verzamelt van personen zonder de daarvoor benodigde toestemming.

Het is niet alleen Microsoft die domeinen overneemt, ook andere partijen registreren domeinen en kunnen op die manier verkeer opvangen.
09-12-2021, 12:28 door Anoniem
Door Anoniem:
Door Anoniem: goede zaak ms

Nou, eigenlijk niet.
Waarom? Denk eens breeder....

[quote[Microsoft neemt zo bezit van criminele domeinen die zouden moeten worden ingenomen door bijvoorbeeld Interpol of andere internationale opsporingsorganisaties. [/quote]Of ze delen deze data met de opsporingsorganisaties?

Dit is mooi weer spelen en eventuele lopende onderzoeken van opsporingsinstanties worden verstoord.
Wie zegt ook dat opsporingsorganisaties er mee bezig waren of zijn?

Laten we niet vergeten dat Microsoft direct commercieel belang heeft
Laten we niet vergeten dat Microsoft ook een grote speler op de security markt is.
en van het bedrijf is bekend dat het op grote schaal data verzamelt van personen zonder de daarvoor benodigde toestemming.
Daar kan je over discussiëren, maar is een andere discussie die niets met deze actie of dit artikel van toepassing is..

Het is niet alleen Microsoft die domeinen overneemt, ook andere partijen registreren domeinen en kunnen op die manier verkeer opvangen.
Dus? Wat heeft dit met dit artikel te maken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.