美业界联手遏制APT35的攻击活动

 

作者:Shawn Panda 转自:malwarebenchmark

3月27日,微软宣布,其旗下数字犯罪防范部门取得华盛顿特区地方法院的许可,接管了黑客组织ATP35用来实施网络攻击活动的99个网站域名。

APT35,又名Phosphorus、Charming Kitten、NewsBeef、Newscaster和Ajax安全小队。据报道,该组织与伊朗有关。另有传言,该组织还与前美国空军反情报官员莫妮卡•维特(Monica Witt)有关;此人于2013年叛逃到德黑兰,现在因涉嫌间谍活动被联邦调查局通缉。

微软至少从2013年就开始跟踪该组织。微软称,APT35的攻击对象涵盖美国政府机关、企业、以及涉及中东问题的活动份子和记者。另有匿名人士称,在美国财政部和其他西方国家政府的类似机构工作的人也是该组织的目标。其最常使用的手法为鱼叉式网络钓鱼攻击,借社交工程诱导受害者点击含恶意代码的链接,以期取得受害者的各类认证信息。此外,它还常常山寨合法企业网站,向用户发送安全警告通知,以此来搜集受害者的个人隐私数据。此次微软接管的99个域名就是该组织山寨合法企业在线服务的域名,其中包括verification-live.com、outlook-verify.net、myaccount-services.net、verify-linkedin.net和yahoo-verify.net等。

 

美国业界联手促成大动作

这是美国业界的联合大行动,只不过可能由微软牵头、协调并对公布了而已。微软在声明中称:“我们与包括雅虎在内的其他一些技术公司密切合作,共享威胁信息并共同阻止攻击……我们还与诉讼中所涉及的每一家域名管理公司合作,法院批准之后,他们就将APT35注册的网站域名转让给我们。此举可允许微软从域名注册管理方手中接管域名,并将其托管在微软自己的服务器上……将这些域名的流量跳转到数字犯罪防范部门所设立的‘陷坑(Sinkhole)’内,以便进一步搜集与分析黑客的攻击行为。”

 

公布时机让人浮想联翩

微软早就提出此申诉,华盛顿特区地方法院则在本月初批准,却于3月27日公布于众。此时机恰在美国财政部宣布新一轮涉伊朗制裁公布的次日。此外,美国于2018年5月8日宣布退出《伊朗核协议》,马上就满一周年,而美国政界近期不断有消息称政府要对伊朗加大制裁。微软恰在此时促成此大战役不得不让人怀疑两者之间的联系。

 

APT35的活动在短期内必将大幅减少

微软一次性接管属于APT35的99个域名,肯定会重创该组织的网络攻击基础工作,为其今后一段时期内的攻击行为造成不小的麻烦。同时,微软在得到这些域名后,经对这些域名流量数据进行深入分析后,将进一步掌握APT35及其相关黑客组织的行为特征,必定会对APT35及相关黑客组织未来一段时间内的攻击活动造成负面冲击。

 

坊间言论

基于微软此次大动作,网上评论不一。有观点认为,“典型找抽行为。你敢假冒大公司搞事,大公司就敢搞你的域名。”另有观点提出:“微软是怎么进入伊朗的钓鱼网站的,有没有授权?”

至于微软这么做是出于社会责任心?还是心甘情愿为某个欲保持低调的政府机构站台?或者说是向白帽子卖服务?自由大家心证。

(完)