Как хакеры использовали Google для кражи корпоративных данных

Группа инновационных хакеров использовала бесплатные сервисы Google  для того, чтобы воспользоваться данными, украденными с корпоративных и принадлежащих правительству компьютеров, как заявила фирма, специализирующаяся на безопасности.

FireEye раскрыли эту деятельность, которую назвали Ядовитый Ураган, в марте, проанализировав траффик, который шел со стороны систем, зараженных специальным инструментом удаленного доступа (RAT), фирмы под названием Kaba, а точнее его вариантом, больше известным, как PlugX.

Скомпрометированные компьютеры были обнаружены у множества сервисных провайдеров США и Азии, работающих в Интернет-инфраструктуре, финансовых институтах и азиатском правительстве. FireEye не обнародовали имена жертв.

Неизвестные хакеры использовали фишинговые атаки для того, чтобы скомпрометировать системы, а затем использовали вредоносное программное обеспечение для того, чтобы украсть секретную информацию и перенаправить ее на удаленные серверы, сказали в FireEye.

Что было необычным, так это то, каким образом хакеры скрывали траффик между вредоносным ПО и серверами – они использовали Google Developers и публичный DNS Фремонта в Калифорнии.

В обоих случаях, сервисы были использованы как своего рода переключатели для того, чтобы можно было перенаправить траффик, который предназначался вполне легальным доменам, таким как, например, adobe.com, outlook.com и update.adobe.com.

«Это была по-настоящему новая техника в сокрытии траффика», - сказал Нед Морган, старший исследователь в Fire Eye, в четверг.

Тактика хакеров была достаточно умна для того, чтобы обмануть сетевого администратора, который был уверен, что траффик направляется на легальный сайт, сказал Моран.

Вредоносное программное обеспечение скрывало трафик, включая поддельные заголовки http легальных доменов. FireEye определили, что примерно 21 легальный домен был использован атакующими.

Вдобавок, хакеры подписали вредоносное ПО  Kaba с помощью легального сертификата группы, зарегистрированной как «Police Mutual Aid Association», а также с помощью уже истекшего сертификата организации под названием “MOCOMSYS INC.”

В случае с Google Developers, хакеры использовали сервис для того, чтобы хранить код, который декодировал траффик с вредоносного ПО для того, чтобы определить IP-адрес настоящего места назначения, а затем перенаправлять траффик именно туда.