Русские хакеры использовали сети Microsoft для маршрутизации трафика с мошеннических сайтов

Интернет-адреса, входящие в сети, принадлежащие корпорации Microsoft, в течение трех недель использовались для маршрутизации трафика с более чем 1 тыс. мошеннических сайтов, управляемых известной в сетевой мире российской хакерской группировкой, сообщает ХАКЕР.ру.

По имеющейся информации, 1025 уникальных веб-сайтов, таких как seizemed.com, yourrulers.com, crashcoursecomputing.com и других, использовались для нелегальной торговли медицинскими препаратами, такими как виагра, стероиды, гормон роста и другие препараты. За торговлей этой "фармой" стояла известная в сети Canadian Health & Care Mall, управляемая злоумышленниками из России.

Согласно данным интернет-сервиса DIG, речь идет об адресах 131.107.202.197 и 131.107.202.198. Оба они принадлежат Microsoft и оба обслуживали DNS-запросы, помогавшие пользователям обращаться к незаконным фармакологическим сайтам.

Эксперты по безопасности затрудняются ответить, как подобное могло произойти, но версия саботажа представляется маловероятной. Скорее всего, либо серверы авторизации Microsoft были изначально неверно сконфигурированы и хакеры смогли получить к ним доступ, либо эти серверы были заражены вредоносным ПО.

"Важно отметить, что хакерам удалось выполнить стоящую перед ними задачу. Скомпрометировали ли они NS-записи, взломали ОС или использовали какой-то другой метод, по сути не так уже важно. Они изменили списки зон и для этого им был необходимо доступ, который они и получили", — рассказал журналистам Рэндал Вагн, профессор информатики из Университета Бейлор.

Эксперт не исключает и довольно экзотической версии: Microsoft сама могла играть в игры с хакерами, создав видимость доступа, что было необходимо для мониторинга за действиями злоумышленников.

Компания Microsoft, со своей стороны, уже подтвердила, что два устройства из корпоративной сети компании использовались русскими хакерами для поддержки сайтов, нелегально распространяющих фармацевтические препараты.

"Мы закончили наше расследование и обнаружили два неправильно сконфигурированных сетевых устройства в тестовой лаборатории, — говорится в заявлении софтверного гиганта. Эти устройства были удалены и мы можем подтвердить, что никакие данные потребителей или рабочие системы не были затронуты. Мы так же предприняли шаги для того, что бы убедиться, что оборудование тестовой лаборатории, имеющее доступ к интернету, сконфигурировано надлежащим с точки зрения безопасности образом".

Ранее, напоминает CyberSecurity.ru, группа Canadian Health&Care Mall, специализирующаяся на интернет-аптеках, использовала для рекламы своих услуг спам в сети Twitter.

Веб-страницы подобных интернет-аптек на первый взгляд вызывают доверие у пользователей, не подозревающих о скрытых опасностях сайтов. Это происходит из-за использования оригинального дизайна сайтов медицинских учреждений, оформления в стиле, располагающем к себе людей.

Однако эксперты по безопасности говорят, что пользователи, попавшие на подобные сайты, подвергаются нескольким типам угроз. Одной из таких угроз является вероятность получения поддельных медикаментов, которые могут нанести вред здоровью.

Скорее всего, представленные на данных сайтах препараты производятся без необходимого лицензирования, в подпольных лабораториях, при нарушении правил производства медикаментов. По этой причине подобные Интернет-аптеки не требуют рецепта врача. Причем названия лекарств могут повторять или быть похожими на всем известные медикаменты.

Второй угрозой для пользователей является необходимость сообщения данных кредитной карты при совершении покупки, это, вероятно, приведет к мошенничеству с кредитной картой и потере денег. Третей опасностью является инфицирование компьютера вредоносным программным обеспечением во время посещения веб-страниц.