Es ist kaum zu glauben, aber die Hackergruppe APT17 missbraucht das TechNet-Forum von Microsoft für die Übergabe der IP-Adressen der Command- und Control-Server ihrer Backdoor “Blackcoffee”. Das stellte die Sicherheitsfirma FireEye aus den USA fest.
Für den Mißbrauch als Nameserver mussten die Microsoft-Server noch nicht einmal kompromittiert werden: Die Hacker versteckten die IP-Adressen einfach codiert in Postings und Profilinformationen des TechNet – so sind sie für infizierte Systeme immer sicher erreichbar.
Blackcoffee holt sich dann von diesen manipulierten TechNet-Seiten eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server, benutzt Microsofts TechNet also als Nameserver.
Die Malware Blackcoffee wurde schon 2013 gefunden und versuchte schon immer, ihre Verbindungen als “normalen” Netzwerkverkehr zu tarnen, beispielsweise als Anfragen an Suchmaschinen.
Der US-Geheimdienst CIA, der die IT-Sicherheitsfirma FireEye finanziell unterstützt, sieht chinesische Hacker hinter Blackcoffee.
