Microsoft ha annunciato lunedì 6 dicembre che un tribunale federale ha accolto una richiesta per consentire alla società di sequestrare 42 siti Web utilizzati da un gruppo criminale con sede in Cina che prendeva di mira organizzazioni negli Stati Uniti e in altre 28 nazioni.
È stato osservato che il gruppo APT, che Microsoft ha soprannominato “Nickel”, ha preso di mira think tank, organizzazioni per i diritti umani, agenzie governative e organizzazioni diplomatiche per scopi di raccolta di informazioni. L’ordinanza del tribunale rivelata lunedì nel distretto orientale della Virginia ha consentito alla Microsoft Digital Crimes Unit di assumere il controllo dei siti Web utilizzati da Nickel e reindirizzare il traffico ai server Microsoft.
I clienti colpiti dagli sforzi di hacking sono stati avvisati. “Ottenere il controllo dei siti Web dannosi e reindirizzare il traffico da tali siti ai server sicuri di Microsoft ci aiuterà a proteggere le vittime esistenti e future mentre impareremo di più sulle attività di Nickel“, ha scritto Tom Burt, vicepresidente aziendale di Customer Security and Trust di Microsoft, in un post sul blog appena pubblicato.
“La nostra interruzione non impedirà a Nickel di continuare altre attività di hacking, ma crediamo di aver rimosso un pezzo chiave dell’infrastruttura su cui il gruppo ha fatto affidamento per questa ultima ondata di attacchi”, ha aggiunto Burt.
Il Threat Intelligence Center di Microsoft ha iniziato a tracciare Nickel nel 2016, osservando che il gruppo utilizza costantemente malware per intromettersi nelle reti aziendali, condurre sorveglianza e rubare dati. Le vulnerabilità nel sistema Exchange Server e SharePoint di Microsoft erano tra quelle più utilizzate per infiltrarsi nelle aziende, sebbene Burt abbia sottolineato che “non sono state scoperte nuove vulnerabilità” nei prodotti Microsoft durante le indagini sulle attività di Nickel. Le organizzazioni prese di mira dal gruppo includono quelle in paesi del Nord America, del Sud America, dei Caraibi, dell’America centrale, dell’Europa e dell’Africa, come Stati Uniti, Brasile, Colombia, Francia, Italia, Regno Unito e dozzine di altri.
Burt ha notato che c’era una “correlazione” tra gli interessi geopolitici cinesi e le organizzazioni prese di mira. “Rimarremo implacabili nei nostri sforzi per migliorare la sicurezza dell’ecosistema e continueremo a condividere le attività che vediamo, indipendentemente da dove provengano”, ha scritto Burt.
Microsoft ha incluso il gruppo nel suo rapporto sulla difesa digitale pubblicato a ottobre, descrivendo Nickel come uno dei gruppi criminali “più attivi” che prendono di mira le agenzie governative e avvertendo che gli attacchi di Nickel hanno avuto successo il 90% delle volte. La mossa per interrompere Nickel è stata l’ultima di una serie di sforzi approvati dal tribunale che Microsoft ha intrapreso per interrompere i cyber criminali.
In precedenza Microsoft aveva preso il controllo delle reti utilizzate dal gruppo di hacker “TrickBot” per distruggere i virus ransomware prima delle elezioni statunitensi del 2020. Nel 2018, la società ha rilevato le reti utilizzate da Strontium, un gruppo APT associato al governo russo, e nel 2019 ha adottato misure simili per interrompere le operazioni dei gruppi di hacking collegati alla Corea del Nord e all’Iran. “È nostra responsabilità, e quella di ogni entità con le competenze e le risorse pertinenti, fare tutto il possibile per rafforzare la fiducia nella tecnologia e proteggere l’ecosistema digitale“, ha scritto Burt.