Η Microsoft κατασχέθηκε 50 ονόματα τομέα από την ομάδα χάκερ Thallium

Microsoft έχει δημοσιεύσει σχετικά με την τελευταία της νίκη εναντίον ομάδων χάκερ που χρηματοδοτούνται από το κράτος, αφού το Επαρχιακό Δικαστήριο των ΗΠΑ για την Ανατολική Περιφέρεια της Βιρτζίνια συμφώνησε να επιτρέψει στη Microsoft να κατάσχει 50 ονόματα τομέα από την κορεατική ομάδα χάκερ Thallium που χρηματοδοτείται από το κράτος.

Αυτό το δίκτυο χρησιμοποιήθηκε για τη στόχευση θυμάτων και στη συνέχεια για την παραβίαση των διαδικτυακών τους λογαριασμών, τη μόλυνση των υπολογιστών τους, τη διακύβευση της ασφάλειας των δικτύων τους και την κλοπή ευαίσθητων πληροφοριών. Με βάση πληροφορίες για τα θύματα, οι στόχοι περιελάμβαναν κυβερνητικούς υπαλλήλους, δεξαμενές σκέψης, μέλη του προσωπικού των πανεπιστημίων, μέλη οργανώσεων που επικεντρώνονται στην παγκόσμια ειρήνη και τα ανθρώπινα δικαιώματα και άτομα που εργάζονται σε θέματα διάδοσης των πυρηνικών όπλων. Οι περισσότεροι στόχοι είχαν βάση τις ΗΠΑ, καθώς και την Ιαπωνία και τη Νότια Κορέα.

Το Thallium συνήθως επιχειρεί να ξεγελάσει τα θύματα μέσω μιας τεχνικής γνωστής ως spear phishing. Συλλέγοντας πληροφορίες σχετικά με τα στοχευμένα άτομα από τα μέσα κοινωνικής δικτύωσης, δημόσιους καταλόγους προσωπικού από οργανισμούς με τους οποίους συμμετέχει το άτομο και άλλες δημόσιες πηγές, το Thallium είναι σε θέση να δημιουργήσει ένα εξατομικευμένο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (spear-phishing) με τρόπο που δίνει στο email αξιοπιστία στον στόχο. Το περιεχόμενο έχει σχεδιαστεί για να φαίνεται νόμιμο, αλλά η πιο προσεκτική εξέταση δείχνει ότι το Thallium παραπλάνησε τον αποστολέα συνδυάζοντας τα γράμματα "r" και "n" ώστε να εμφανίζονται ως το πρώτο γράμμα "m" στο "microsoft.com".

Ο σύνδεσμος στο email ανακατευθύνει τον χρήστη σε έναν ιστότοπο που ζητά τα διαπιστευτήρια λογαριασμού του χρήστη. Παραπλανώντας τα θύματα να κάνουν κλικ στους δόλιους συνδέσμους και παρέχοντας τα διαπιστευτήριά τους, το Thallium μπορεί στη συνέχεια να συνδεθεί στον λογαριασμό του θύματος. Μετά την επιτυχή παραβίαση ενός λογαριασμού θύματος, το Thallium μπορεί να ελέγχει μηνύματα ηλεκτρονικού ταχυδρομείου, λίστες επαφών, συναντήσεις ημερολογίου και οτιδήποτε άλλο ενδιαφέρει στον παραβιασμένο λογαριασμό. Το Thallium συχνά δημιουργεί επίσης έναν νέο κανόνα προώθησης αλληλογραφίας στις ρυθμίσεις λογαριασμού του θύματος. Αυτός ο κανόνας προώθησης αλληλογραφίας θα προωθήσει όλα τα νέα email που έλαβε το θύμα σε λογαριασμούς που ελέγχονται από το Thallium. Χρησιμοποιώντας κανόνες προώθησης, το Thallium μπορεί να συνεχίσει να βλέπει μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνονται από το θύμα, ακόμη και μετά την ενημέρωση του κωδικού πρόσβασης του λογαριασμού του θύματος.

Εκτός από τη στόχευση διαπιστευτηρίων χρηστών, το Thallium χρησιμοποιεί επίσης κακόβουλο λογισμικό για να παραβιάσει συστήματα και να κλέψει δεδομένα. Μόλις εγκατασταθεί στον υπολογιστή ενός θύματος, αυτό το κακόβουλο λογισμικό διεγείρει πληροφορίες από αυτόν, διατηρεί μια επίμονη παρουσία και περιμένει για περαιτέρω οδηγίες. Οι φορείς της απειλής Thallium έχουν χρησιμοποιήσει γνωστό κακόβουλο λογισμικό με το όνομα "BabyShark" και "KimJongRAT".

Αυτή είναι η τέταρτη ομάδα δραστηριοτήτων εθνικών κρατών κατά της οποίας η Microsoft έχει υποβάλει παρόμοιες νομικές ενέργειες για την κατάργηση της υποδομής κακόβουλου τομέα. Προηγούμενες διακοπές στόχευαν το Barium, που λειτουργεί από την Κίνα, Στρόντιο, που λειτουργεί από τη Ρωσία, και Φώσφορος, που λειτουργεί από το Ιράν.

Για προστασία από αυτού του είδους τις απειλές, η Microsoft προτείνει στους χρήστες να ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων σε όλους τους επαγγελματικούς και προσωπικούς λογαριασμούς email. Δεύτερον, οι χρήστες πρέπει να μάθουν πώς να εντοπίσετε συστήματα phishing και να προστατεύονται από αυτούς. Εν τέλει, ενεργοποίηση ειδοποιήσεων ασφαλείας σχετικά με συνδέσμους και αρχεία από ύποπτους ιστότοπους και με προσοχή ελέγξτε την προώθηση του email σας κανόνες για κάθε ύποπτη δραστηριότητα.