28/03/19
Компания Microsoft тайно вела активную борьбу с финансируемой Ираном кибершпионской группировкой APT35, также известной как Phosphorus, Charming Kitten и Ajax Security Team. Об этом сообщается в судебных документах, с которых в среду, 27 марта, был снят гриф секретности.
Согласно документам, суд разрешил Microsoft получить контроль над 99 доменами, принадлежавшими APT35 и использовавшимися группировкой для фишинговых атак на организации в США и по всему миру.
Злоумышленники зарегистрировали доменные имена с использованием известных торговых марок, в том числе Microsoft и Yahoo. Среди «конфискованных» доменов оказались outlook-verify.net, yahoo-verify.net, verification-live.com, myaccount-services.net и пр. С их помощью преступники выманивали у жертв логины и пароли – очень старый, но чрезвычайно эффективный метод похищения учетных данных.
Регистраторы доменных имен оказали содействие Microsoft и передали компании контроль над доменами сразу же после получения ею соответствующего ордера. Как правило, компаниям нужны такие судебные ордера для получения контроля над доменами, незаконно использующими их товарные знаки. Однако в данном случае Microsoft использовала ордер в рамках борьбы с финансируемой государством кибершпионской группировкой.
Microsoft и раньше использовала предписания суда для закрытия сайтов, принадлежащих APT-группам. К примеру, летом 2017 года компания захватила контроль над 70 доменами APT28 (она же Fancy Bear).
Использование судебных ордеров для закрытия вредоносных доменов – практика далеко не новая. Тем не менее, до недавнего времени к ней прибегали только правоохранительные органы для отключения C&C-серверов ботнетов.
