Компания Microsoft объявила о захвате 42 доменов, используемых китайской кибершпионской группой Nickel (APT15), которая атакует организации в США и 28 других странах мира.
Группировка, которую Microsoft называет Nickel, также известна и под другими именами, включая APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon и Vixen Panda. Считается, что хак-группа активна с 2012 года и за эти годы провела множество операций против самых разных целей.
Том Берт (Tom Burt), вице-президент Microsoft по вопросам безопасности и доверия клиентов, пишет, что захваченные домены использовались для «сбора данных» правительственных агентств, аналитических центров и правозащитных организаций. Данная кампания длится примерно с осени 2019 года.
«Получение контроля над вредоносными сайтами и перенаправление трафика с этих сайтов на защищенные серверы Microsoft поможет нам защитить нынешних и будущих жертв, одновременно узнав больше о деятельности Nickel, — говорит Берт. — Этот сбой не помешает Nickel продолжить другие хакерские операции, но мы уверены, что удалили ключевую часть инфраструктуры, на которую группа полагалась во время последней волны атак».
Согласно постановлению суда, домены хакеров перенаправлены «на защищенные серверы путем изменения полномочных серверов доменных имен на NS104a.microsoftintemetsafety.net и NS104b.microsoftintemetsafety.net».
Сообщается, что хак-группа компрометировала своих жертв через взлом сторонних поставщиков услуг VPN, а также при помощи украденных учетных данных (обычно полученных в результате направленных фишинговых кампаний).
Разумеется, захват доменов Nickel санкционировал суд, и этот иск стал уже 24 на счету Microsoft. Напомню, что ранее компания через суд получала контроль над доменами, принадлежавшими взломщикам SolarWinds, иранской APT35, ботнетам Necurs и Thallium, северокорейским хакерам и нигерийским BEC-мошенникам.
«На сегодняшний день, в рамках 24 судебных процессов (пять из них касались правительственных хакеров), мы заблокировали более 10 000 вредоносных сайтов, используемых киберпреступниками, и почти 600 сайтов, используемых правительственными хакерами», — сообщает Берт.
