Un judecator a acordat Microsoft ordinul care i-a permis sa inchida o retea de site-uri operate de un grup de hackeri iranieni.
Microsoft a declarat ca a preluat 99 de site-uri apartinand unui grup iranian legat de stat, numit “Phosphorus”, aka APT35, Charming Kitten si Ajax Security Team.
Potrivit documentelor judecatoresti dezvaluite saptamana aceasta, Microsoft a primit o decizie judecatoreasca care le permite sa preia controlul asupra site-urilor pe care grupul de hackeri iranieni le-a folosit pentru a executa atacuri de tip phishing cu avertizari de securitate false.
Intr-un post pe blog, Tom Burt, vicepresedinte corporativ al Microsoft care se ocupa cu securitatea si increderea clientilor Microsoft, a scris ca au colaborat cu alte companii, inclusiv Yahoo si un numar de registratori de domenii, pentru a construi cazul care a fost prezentat in fata judecatorului pentru obtinerea ordinului.
Microsoft a urmarit Phosphorus din 2013 si a urmarit grupul de atacuri lansate in intreaga lume, desi activitatea sa mai recenta pare sa vizeze intreprinderi, agentii guvernamentale si “cei implicati in advocacy si raportare pe probleme legate de Orientul Mijlociu”.
Phil Reitinger, presedinte si CEO al Global Cyber Alliance, declara ca utilizarea de catre Microsoft a puterii legale pentru a perturba grupul de hackeri iranieni este un scenariu optim. “Folosirea a ceea ce se refera la caile de atac civile in care puteti obtine dovezile care sa le sustina considera cea mai buna practica pentru a inchide un grup care provoaca daune. Este cea mai sigura cale de a continua “, spune el.
Monique Becenti, specialist in canale si produse de la SiteLock, declara ca operatia lui Phosphorus prezinta o poveste de precautie pentru alte companii. “Aceasta este a doua oara cand Microsoft a participat la o campanie cu infractorii cibernetici ai statului si arata ca nici una dintre cele mai mari si mai sofisticate companii de tehnologie din lume nu poate preveni aceste tipuri de atacuri”, spune ea.
Aceasta opinie a fost reluata de Terence Jackson, CISO la Thycotic. “Raufacatorii stiu adesea ca site-urile web sunt adesea cea mai slaba legatura si s-au infiltrat din nou si de aceasta data”.
Intre timp, Microsoft s-a confruntat cu acest tip de atac in trecut. In postarea pe blog, Burt a scris: “Am folosit aceasta abordare de 15 ori pentru a prelua controlul asupra a 91 site-uri false asociate cu Strontiu”.
In cele din urma, Reitinger spera ca alte organizatii vor vedea aceasta actiune ca eficace si vor folosi-o ca model, mai degraba decat sa se bazeze pe alte tactici extra-legale.
“Cred ca merita sa subliniem diferenta dintre acest lucru si tipul de activitate denumit” hack-back “. Nu sunt in favoarea recuperarii, deoarece oamenii iau legea in mainile lor “, spune el. “Folosirea cailor de atac civile – cum ar fi un ordin de restrictionare temporara pentru a prelua controlul asupra site-urilor periculoase – este un instrument puternic care poate fi folosit pentru a preveni sau a atenua atacurile cibernetice”.