10 Апреля 2025 08:14 10 Апр 2025 08:14 |

Поделиться

Microsoft перешла к активной разведке в отношении хакеров и фишеров

Активные мероприятия

Корпорация Microsoft предприняла масштабную кампанию против различного рода киберзлоумышленников с целью сбора информации о них. Эксперты фирмы развернули большое количество учетных записей с доступом к облаку Azure, которые снаружи выглядели совершенно обычно, но на деле являлись «ловушками» (honeypots), которые позволяли документировать все действия злоумышленников, получивших к ним доступ.

В первую очередь, впрочем, кампания была направлена на фишеров, чья деятельность наносит весьма серьезный ущерб.

Как заявил на конференции BSides Exeter Росс Бевингтон (Ross Bevington), один из руководителей разработки решений по безопасности в Microsoft, используемая обманная тактика позволила специалистам исследовать инфраструктуру злоумышленников, получить масштабные сведения об их активности и технических подходах и даже идентифицировать некоторых злоумышленников. Естественно, это также позволило затруднить деятельность киберпреступников.

Бевингтон, который назвал себя «директором Microsoft по обману», создал на ныне уже не действующем ресурсе code.microsoft.com «гибридную ловушку для интенсивного взаимодействия», и с ее помощью специалисты компании исследовали деятельность и низкоквалифицированных хакеров и фишеров, и целых киберразведок других стран.

В настоящее время Бевингтон и его команда используют масштабные арендуемые среды в Azure, насчитывающие тысячи пользовательских аккаунтов, с использованием уникальных доменных имен. Более того, внутри них постоянно происходит какое-то движение - аккаунты коммуницируют друг с другом, обмениваются файлами и т.д. То есть создается иллюзия полной аутентичности.

Мало того, вместо пассивного ожидания визита со стороны хакеров, коллеги Бевингтона целенаправленно посещают известные фишинговые сайты и сбрасывают туда реквизиты пользовательского доступа к ловушкам.

Microsoft мониторит порядка 25 тыс. известных фишинговых сайтов, реквизиты доступа, впрочем, удается выгрузить в автоматическом режиме только в 20% случаев. Большинство прочих сайтов защищены CAPTCHA или другими средствами против ботов.

В 5% случаев хакеры наносят ответный визит вежливости, используя полученные задаром логины и пароли - в итоге коллеги Бевингтона видят все, что те делают, и документируют всю тактику, методы и процедуры.

Торопись медленно

К настоящему времени удалось собрать такие данные, как IP-адреса, браузеры хакеров, и примерное местонахождение, поведенческие паттерны, а также использование средств VPN/VPS и наборы фишинговых инструментов.

Кроме того, когда хакеры пытаются Microsoft войти в контакт с аккаунтами, относящимся к ловушкам, ответ они получают с максимально возможной задержкой.

Как следствие, злоумышленники теряют около 30 дней, прежде чем понимают, что их обманули. Между тем, все это время их попытки и уловки документируются, что обеспечивает исследователям возможность постоянно совершенствовать защитные средства.

К настоящему времени эта кампания позволила заблокировать порядка 40 тыс. входящих соединений от злоумышленников, нацелившихся на инфраструктуру компании.

И хотя всего 10% IP-адресов, с которых осуществляются атаки, можно соотнести со сведениями из других баз данных о киберкриминале, количество собранной информации позволяет отличать финансово мотивированных мошенников от киберразведок других стран.

«Использование ловушек - не новый метод, однако обычно это статичные ресурсы, и исследователи, их развернувшиеся, как правило, пассивно ждут, когда в них попадется - кто-то или что-то», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Здесь же велась разведка боем, с заманиванием, дезинформацией и сбором сведений, которые при стандартных подходах собрать либо невозможно, либо значительно сложнее. Логично предположить, что теперь Microsoft предложит какие-то новые антифишинговые инструменты».

Роман Георгиев

Поделиться

Короткая ссылка