На протяжении последних трех недель интернет-адреса, входящие в сети,
принадлежащие корпорации Microsoft, были использованы для маршрутизации трафика
с более чем 1000 мошеннических сайтов, управляемых известной в сетевой мире
российской хакерской группировкой. Согласно имеющейся информации, 1025
уникальных веб-сайтов, таких как seizemed.com, yourrulers.com,
crashcoursecomputing.com и других, использовались для нелегальной торговли
медицинскими препаратами, такими как виагра, стероиды, гормон роста и другие
препараты. За торговлей этой "фармой" стояла известная в сети Canadian Health &
Care Mall, управляемая российскими хакерами.
Известно, что злоумышленники использовали как минимум два адреса Microsoft
для хостинга их доменных имен и сайтов. DNS-серверы, используемые для
обслуживания сайтов, также использовали сети корпорации. Известно, что такую
схему мошенничества Canadian Health & Care Mall применяла как минимум с 22
сентября этого года.
Согласно данным интернет-сервиса DIG, речь идет об адресах 131.107.202.197 и
131.107.202.198. Оба они принадлежат Microsoft и оба обслуживали DNS-запросы,
помогавшие пользователям обращаться к незаконным фармакологическим сайтам.
Эксперты по безопасности пока затрудняются ответить, как подобное могло
произойти, но версия саботажа представляется маловероятной. Скорее всего, либо
авторитативные серверы Microsoft были изначально неверно сконфигурированы и
хакеры смогли получить к ним доступ, либо эти серверы были заражены вредоносным
ПО.
"Важно отметить, что хакерам удалось выполнить стоящую перед ними задачу.
Скомпрометировали ли они NS-записи, взломали ОС или использовали какой-то другой
метод, по сути не так уже важно. Они изменили списки зон и для этого им был
необходимо доступ, который они и получили", - говорит Рэндал Вагн, профессор
информатики из Университета Бейлор.
Впрочем, Вагн не исключает и довольно экзотической версии: Microsoft сама
могла играть в игры с хакерами, создав видимость доступа, что было необходимо
для мониторинга за действиями злоумышленников.
Официально в Microsoft данный случай не комментируют, говоря, что
соответствующий персонал анализирует имеющуюся информацию.
