Microsoft ha tomado medidas para poner fin a un grupo de hackeo con sede en China que ha utilizado el sitio web TechNet como parte de su infraestructura de ataque, de acuerdo con el proveedor de seguridad FireEye.

El grupo, el cual FireEye denomina APT17, es bien conocido por sus ataques contra organizaciones de defensa, bufetes de abogados, agencias gubernamentales de Estados Unidos, empresas de tecnología y empresas mineras, entre otros.

TechNet tiene un sitio web muy solicitado debido a que tiene mucha documentación de los productos de Microsoft. También tiene un gran foro en donde los usuarios pueden dejar sus comentarios y hacer preguntas.

APT 17, apodado DeputyDog, creaba cuentas en TechNet para después dejar comentarios en ciertas páginas. Los comentarios contenían el nombre codificado de un dominio con el cual las computadoras infectadas tendrían que conectarse.

El dominio codificado, entonces, hacía referencia desde la computadora de la víctima a un servidor de comando y control que formaba parte de la infraestructura de APT17, mencionó Bryce Boland, Director de Tecnología de FireEye para Asia y el Pacífico.

La técnica de requerir que el equipo infectado entre en contacto con un intermediario antes de llegar al dominio malicioso se utiliza con frecuencia. A menudo los cibercriminales piden a las máquinas infectadas alcanzar a un dominio que no resulta sospechoso antes de proceder a otro de menor reputación. "Es completamente normal ver una gran cantidad de tráfico que va hacia TechNet", mencionó Boland.

A veces los dominios de comando y control estan incrustados en el propio programa malicioso, pero eso hace que sea más fácil para los investigadores de seguridad informática averiguar cuáles se ponen en contacto. Otras veces el malware es codificado mediante un algoritmo que genera nombres de dominio con posibilidad de contactarse, pero que también pueden ser ingeniería inversa por los analistas, dijo Boland. "Este es un reto para cualquier plataforma abierta", mencionó.

FireEye y Microsoft sustituyen los dominios codificados en TechNet con los de las empresas controladas, que les dieron una visión del problema cuando las máquinas infectadas llamaron a esos dominios.

APT17 ha "atacado a nuestros clientes durante muchos años", dijo Boland. Las organizaciones usualmente son atacadas a través de la phishing dirigido, que consiste en el envío de mensajes de correo electrónico con enlaces o archivos adjuntos maliciosos, mencionó.

Para el último par de años, APT17 ha infectado computadoras con un programa de malware que FireEye llama BLACKCOFFEE. El malware puede subir archivos, borrar archivos y crear un shell inversa en un ordenador, entre otras funciones.