Microsoft unese 50 doménových jmen ze skupiny hackerů Thallium
3 min. číst
Aktualizováno dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Microsoft zveřejnil o svém posledním vítězství proti státem podporovaným hackerským skupinám poté, co americký okresní soud pro východní obvod Virginie souhlasil s povolením Microsoftu zabavit 50 doménových jmen státem podporované korejské hackerské skupině Thallium.
Tato síť byla použita k cílení na oběti a následné kompromitaci jejich online účtů, infikování jejich počítačů, ohrožení bezpečnosti jejich sítí a odcizení citlivých informací. Na základě informací o obětech mezi cíle patřili vládní zaměstnanci, think-tanky, zaměstnanci univerzit, členové organizací zaměřených na světový mír a lidská práva a jednotlivci, kteří se zabývají problematikou šíření jaderných zbraní. Většina cílů byla umístěna v USA, stejně jako v Japonsku a Jižní Koreji.
Thallium se obvykle pokouší oklamat oběti pomocí techniky známé jako spear phishing. Díky shromažďování informací o cílených jednotlivcích ze sociálních médií, adresářů veřejných zaměstnanců organizací, se kterými je jednotlivec zapojen, a dalších veřejných zdrojů je Thallium schopno vytvořit personalizovaný e-mail spear-phishing způsobem, který cíli poskytne důvěryhodnost e-mailu. Obsah je navržen tak, aby vypadal legitimně, ale bližší kontrola ukazuje, že Thallium podvrhlo odesílatele tím, že zkombinovalo písmena „r“ a „n“, aby se objevilo jako první písmeno „m“ na „microsoft.com“.
Odkaz v e-mailu přesměruje uživatele na webovou stránku požadující přihlašovací údaje k účtu uživatele. Oklamáním obětí, aby klikly na podvodné odkazy a poskytly své přihlašovací údaje, se pak Thallium dokáže přihlásit k účtu oběti. Po úspěšném kompromitaci účtu oběti může Thallium zkontrolovat e-maily, seznamy kontaktů, schůzky v kalendáři a cokoli jiného, co vás na napadeném účtu zajímá. Thallium často také vytvoří nové pravidlo pro přesměrování pošty v nastavení účtu oběti. Toto pravidlo přeposílání pošty přepošle všechny nové e-maily obdržené obětí na účty kontrolované Thaliem. Pomocí pravidel přeposílání může Thallium nadále vidět e-maily obdržené obětí, a to i po aktualizaci hesla k účtu oběti.
Kromě cílení na přihlašovací údaje uživatelů Thallium také využívá malware ke kompromitaci systémů a krádeži dat. Po instalaci do počítače oběti z něj tento malware exfiltruje informace, udržuje stálou přítomnost a čeká na další pokyny. Aktéři hrozby Thallium využili známý malware s názvem „BabyShark“ a „KimJongRAT“.
Toto je čtvrtá skupina aktivit národního státu, proti které Microsoft podal podobné právní kroky s cílem odstranit infrastrukturu škodlivých domén. Předchozí výpadky se zaměřily na Barium operující z Číny, Stroncium, působící z Ruska, a Fosfor, působící z Íránu.
Pro ochranu před tímto druhem hrozeb společnost Microsoft uživatelům navrhuje, aby povolili dvoufaktorové ověřování na všech pracovních a osobních e-mailových účtech. Za druhé, uživatelé se musí učit jak odhalit phishingová schémata a chránit se před nimi. konečně povolit bezpečnostní upozornění o odkazech a souborech z podezřelých webů a pečlivě zkontrolujte přeposílání e-mailů pravidla pro jakoukoli podezřelou činnost.