گروه نفوذگر APT17 با عضویت در این سایت تحت نام های مستعار و جعلی، پیام هایی در صفحات مختلف TechNet قرار می دادند. در واقعیت، این پیام ها نام رمزگذاری شده دامنه (domian)هایی بودند که ماشین های آلوده و تحت کنترل این نفوذگران باید با آن دامنهها ارتباط برقرار می کردند تا بتوانند فرامین و دستورات جدید را از سوی نفوذگران APT17 دریافت کنند.
یک گروه نفوذگر چینی از سایت پشتیبانی TechNet شرکت مایکروسافت بعنوان بخشی از زیرساختار شبکه مخرب خود استفاده می کرده و آن را برای ارسال فرامین و دستورات جدید به ماشین های آلوده تحت کنترل خود بکار می برده است.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از آی تی اس ان, این گروه نفوذگر که به APT17 مشهور است سابقه طولانی در حمله و نفوذ علیه سایت های مراکز نظامی، موسسات دولتی و شرکتهای بزرگ آمریکایی دارد.
سایت TechNet مایکروسافت یک سایت پشتیبانی فنی است که ترافیک قابل توجهی داشته و برای ارائه مستندات و راهنما برای انواع محصولات این شرکت مورد استفاده قرار می گیرد. سایت TechNet دارای یک تالاز گفتگو (forum) بزرگ هم هست که کاربران میتوانند نقطه نظرات و سوالات خود را در آنجا با دیگران به اشتراک بگذارند.
گروه نفوذگر APT17 با عضویت در این سایت تحت نام های مستعار و جعلی، پیام هایی در صفحات مختلف TechNet قرار می دادند. در واقعیت، این پیام ها نام رمزگذاری شده دامنه (domian)هایی بودند که ماشین های آلوده و تحت کنترل این نفوذگران باید با آن دامنهها ارتباط برقرار می کردند تا بتوانند فرامین و دستورات جدید را از سوی نفوذگران APT17 دریافت کنند.
با توجه به ترافیک حجیم و متنوع سایت TechNet ارتباط مستمر ماشین های آلوده با این سایت یک امر عادی به نظر می آمده و اکنون بعد از مدتها استفاده نفوذگران از TechNet، شرکت مایکروسافت با کمک شرکت امنیتی FireEye موفق به کشف و شناسایی چنین عملیاتی شده است.
برای ارتباط و مدیریت ماشین های آلوده توسط نفوذگران و بدافزارنویسان و همچنین انجام تغییرات لازم در نحوه آلودگی جهت پنهان ماندن از دید ابزارهای امنیتی و ارسال دستورات مخرب جدید به ماشین های تحت کنترل، معمولا دامنه هایی جدید که عمر کوتاه مدتی هم دارند، توسط نفوذگران راه اندازی می شوند. این دامنه های جدیدالتاسیس که هیچ سابقه ای از آنها وجود ندارد و اطلاعاتی از آنها در اختیار شرکتها و مراکز امنیتی نیست، بدون جلب توجه، به مرکز فرماندهی نفوذگران تبدیل می شوند. به محض لو رفتن هر دامنه، آن دامنه رها شده و دامنه های جدید دیگری راه اندازی می شود.
مسئله مهم این است که به نحوی به ماشین های آلوده خبر داده شود که به کدام دامنه برای گرفتن دستور مراجعه کنند.
یک روش، استفاده از نام دامنههایی است که در داخل خود بدافزار نوشته شده و بر روی ماشین آلوده قرار می گیرد. این روش به سرعت توسط شرکتهای امنیتی قابل شناسایی و مقابله است. یک روش دیگر، استفاده از الگوریتم های "تولید نام دامنه” است. در این روش، طبق یک فرمول، نام دامنه های جدید تولید می شود. بدین ترتیب، نفوذگران می دانند که کدام دامنه ها را باید ثبت و راه اندازی کنند و ماشین های آلوده هم می دانند که به کدام دامنه باید مراجعه کرده و با آن ارتباط برقرار کنند. این روش نیز با کمی زحمت و با مهندسی معکوس قابل رمزگشایی توسط شرکتهای امنیتی می باشد. اکنون هم نفوذگران از این روش جدید و مبتکرانه استفاده کرده اند.
شرکت مایکروسافت اکنون اقداماتی برای مقابله با این اقدام مخرب نفوذگران APT17 انجام داده است. برای اطلاع از میزان استفاده نفوذگران از سایت TechNet نیز بجای پیام های نفوذگران، پیام هایی که ماشین های آلوده را به سمت یک سایت تحت کنترل مایکروسافت هدایت می کردند، در صفحات خاص TechNet گذاشته شده و اقدام به جمع آوری آمار شده است.