De aanvallers die in een rapport van een Amerikaans beveiligingsbedrijf werden onthuld gaan gewoon door met het uitvoeren van aanvallen alsof er niets is gebeurd. Deze week publiceerde Mandiant een rapport over een groep hackers genaamd APT1, die bij tal van westerse landen en bedrijven zouden hebben ingebroken. In detail werd de werkwijze van de groep besproken.

Ook werden 3.000 indicatoren getoond, zoals IP-adressen en domeinnamen, die bij de aanvallen gebruikt werden. Het beveiligingsbedrijf hoopte met de publicatie de operatie van APT1 te verstoren. APT1, wat voor advanced persistent threat staat, wordt ook de 'Comment Group genoemd vanwege het gebruik van HTML comments om communicatie van besmette computers met de command-and-control servers te verbergen.

Actief
Ondanks de publicatie en alle media-aandacht heeft dit geen gevolgen voor de operatie van de Comment Groep gehad, aldus de Shadow Server Foundation die de groep hackers al geruime tijd volgt. Volgens Steven Adair zijn er wel aanpassingen doorgevoerd, zoals domeinen en DNS hostnames die zijn aangepast.

Ook is WHOIS informatie van domeinnamen veranderd, waaronder namen en e-mailadressen. Verder is het 'business as usual', merkt Adair op. De groep gebruikt zelfs IP-adressen die in het APT1 rapport van Mandiant werden genoemd.

Wel verwacht de onderzoeker dat de komende weken de nu de bekende infrastructuur van de Comment Group verder zal worden aangepakt en uitgeschakeld.

Toekomst
"We zullen zien wat de Comment Group in de komende maanden nog meer gaat veranderen, maar ik verwacht niet dat ze er op korte termijn mee ophouden", stelt Adair. Symantec heeft inmiddels een aanvullende lijst met indicatoren gepubliceerd waarmee organisaties APT1-gerelateerde activiteiten kunnen achterhalen.