Группа хакеров изменила маршрут трафика, предназначенного для этих доменов от конкретных пользователей.
По данным FireEye, несколько провайдеров Интернет-услуг в США и Азии, медиакомпания из США, а также финансовое учреждение и государственная организация, расположенные в Азии, стали мишенью для мошенников в ходе операции под названием "Отравленный Ураган" ("Poisoned Hurricane").
FireEye начала анализировать деятельность группы в марте 2014 года, когда эксперты заметили семейство PlugX (Kaba), подключенное к легальным доменам и IP-адресам. Один из образцов, отмеченный исследователями, был подписан законным цифровым сертификатом Ассоциации полиции по взаимопомощи (Police Mutual Aid Association), в то время как другой использовал цифровой сертификат с истекшим сроком действия от компании под названием MOCOMSYS.
Вредоносная программа была создана для подключения к доменам, таким как adobe.com, update.adobe.com и outlook.com. Поскольку маловероятно, что нападавшие имели доступ к этим доменам, исследователи решили, что они изменили маршрут трафика, предназначенного для этих доменов от конкретных пользователей.
PlugX был настроен для разрешения DNS-запросов через серверы имен в компании под названием Hurricane Electric. Любой желающий может зарегистрировать бесплатный аккаунт с помощью сервиса DNS компании, который позволяет пользователям регистрировать зону и создавать записи. Эти записи могут быть перенаправлены на любой IP-адрес.
В общей сложности, FireEye выявила 21 домен, взломанный в подобной манере. Тем не менее, по состоянию на 4 августа компания Hurricane Electric уже не передавала информацию на эти домены, сообщает компания.
Посетители взломанных доменов не пострадали, если их компьютеры не были заражены вредоносным PlugX, но эксперты отмечают, что эта тактика усложнит работу ИТ-специалистов по безопасности в будущем.
Сбалансированная диета для серого вещества