Microsoft kaprer 50 domænenavne fra Thallium-hackergruppen

microsoft har lagt ud om sin seneste sejr mod statssponsorerede hackergrupper, efter at den amerikanske distriktsdomstol for det østlige distrikt i Virginia indvilligede i at tillade Microsoft at konfiskere 50 domænenavne fra den statssponserede koreanske hackergruppe Thallium.

Dette netværk blev brugt til at målrette mod ofre og derefter kompromittere deres onlinekonti, inficere deres computere, kompromittere deres netværks sikkerhed og stjæle følsomme oplysninger. Baseret på information om ofre omfattede målene statsansatte, tænketanke, universitetsansatte, medlemmer af organisationer med fokus på verdensfred og menneskerettigheder og enkeltpersoner, der arbejder med spørgsmål om atomspredning. De fleste mål var baseret i USA samt Japan og Sydkorea.

Thallium forsøger typisk at narre ofre gennem en teknik kendt som spear phishing. Ved at indsamle information om de målrettede personer fra sociale medier, offentlige personalefortegnelser fra organisationer, individet er involveret i og andre offentlige kilder, er Thallium i stand til at lave en personlig spear-phishing-e-mail på en måde, der giver e-mailen troværdighed til målet. Indholdet er designet til at virke legitimt, men en nærmere gennemgang viser, at Thallium har forfalsket afsenderen ved at kombinere bogstaverne "r" og "n" for at blive vist som det første bogstav "m" i "microsoft.com."

Linket i e-mailen omdirigerer brugeren til et websted, der anmoder om brugerens kontooplysninger. Ved at narre ofrene til at klikke på de svigagtige links og give deres legitimationsoplysninger, er Thallium derefter i stand til at logge ind på ofrets konto. Efter vellykket kompromittering af en offerkonto kan Thallium gennemgå e-mails, kontaktlister, kalenderaftaler og alt andet af interesse på den kompromitterede konto. Thallium opretter ofte også en ny regel for videresendelse af post i offerets kontoindstillinger. Denne regel for videresendelse af mail vil videresende alle nye e-mails modtaget af offeret til Thallium-kontrollerede konti. Ved at bruge videresendelsesregler kan Thallium fortsætte med at se e-mails modtaget af offeret, selv efter ofrets kontoadgangskode er opdateret.

Ud over at målrette brugerlegitimationsoplysninger, bruger Thallium også malware til at kompromittere systemer og stjæle data. Når den først er installeret på et offers computer, udskiller denne malware information fra den, opretholder en vedvarende tilstedeværelse og venter på yderligere instruktioner. Thallium-truslens aktører har brugt kendt malware ved navn "BabyShark" og "KimJongRAT."

Dette er den fjerde nationalstatsaktivitetsgruppe, som Microsoft har anlagt lignende retssager mod for at fjerne ondsindet domæneinfrastruktur. Tidligere forstyrrelser har været rettet mod Barium, der opererer fra Kina, Strontium, der opererer fra Rusland, og Fosfor, der opererer fra Iran.

For at beskytte mod denne form for trusler foreslår Microsoft, at brugerne aktiverer to-faktor-godkendelse på alle forretnings- og personlige e-mail-konti. For det andet skal brugerne lære hvordan man kan se phishing-skemaer og beskytte sig mod dem. Til sidst, aktivere sikkerhedsadvarsler om links og filer fra mistænkelige websteder og omhyggeligt tjek din videresendelse af e-mail regler for enhver mistænkelig aktivitet.