مایکروسافت 50 نام دامنه را از گروه هکر Thallium ربود

مایکروسافت پست کرده است در مورد آخرین پیروزی خود در برابر گروه های هکری تحت حمایت دولتی پس از اینکه دادگاه منطقه ای ایالات متحده برای ناحیه شرقی ویرجینیا موافقت کرد که به مایکروسافت اجازه دهد 50 نام دامنه را از گروه هکر کره ای تالیم که توسط دولت حمایت می شود، مصادره کند.

این شبکه برای هدف قرار دادن قربانیان و سپس به خطر انداختن حساب های آنلاین آنها، آلوده کردن رایانه های آنها، به خطر انداختن امنیت شبکه های آنها و سرقت اطلاعات حساس مورد استفاده قرار می گرفت. بر اساس اطلاعات قربانیان، این اهداف شامل کارمندان دولت، اندیشکده‌ها، کارکنان دانشگاه، اعضای سازمان‌های متمرکز بر صلح جهانی و حقوق بشر، و افرادی بود که روی موضوعات اشاعه هسته‌ای کار می‌کنند. بیشتر اهداف در ایالات متحده و همچنین ژاپن و کره جنوبی مستقر بودند.

تالیم معمولاً سعی می کند قربانیان را از طریق تکنیکی به نام spear phishing فریب دهد. با جمع‌آوری اطلاعات در مورد افراد مورد نظر از رسانه‌های اجتماعی، فهرست‌های پرسنل عمومی از سازمان‌هایی که فرد با آنها درگیر است و سایر منابع عمومی، تالیوم می‌تواند ایمیل شخصی‌سازی شده فیشینگ را به گونه‌ای ایجاد کند که اعتبار ایمیل را به هدف بدهد. محتوا طوری طراحی شده است که قانونی به نظر برسد، اما بررسی دقیق تر نشان می دهد که Thallium با ترکیب حروف "r" و "n" فرستنده را جعل کرده است تا به عنوان اولین حرف "m" در "microsoft.com" ظاهر شود.

پیوند موجود در ایمیل کاربر را به وب‌سایتی هدایت می‌کند که اطلاعات کاربری حساب کاربر را درخواست می‌کند. با فریب قربانیان برای کلیک کردن بر روی پیوندهای تقلبی و ارائه اعتبار آنها، Thallium می‌تواند به حساب قربانی وارد شود. پس از به خطر انداختن موفقیت آمیز یک حساب قربانی، Thallium می تواند ایمیل ها، لیست تماس ها، قرار ملاقات های تقویم و هر چیز دیگری را که در حساب در معرض خطر قرار دارد بررسی کند. Thallium اغلب یک قانون جدید برای ارسال نامه در تنظیمات حساب قربانی ایجاد می کند. این قانون حمل و نقل نامه، تمام ایمیل‌های جدید دریافت شده توسط قربانی را به حساب‌های کنترل شده با تالیم ارسال می‌کند. با استفاده از قوانین حمل و نقل، تالیوم می‌تواند همچنان ایمیل‌های دریافتی قربانی را ببیند، حتی پس از به‌روزرسانی رمز عبور حساب قربانی.

Thallium علاوه بر هدف قرار دادن اعتبار کاربران، از بدافزار برای به خطر انداختن سیستم ها و سرقت داده ها نیز استفاده می کند. پس از نصب بر روی رایانه قربانی، این بدافزار اطلاعات را از آن استخراج می کند، حضور دائمی خود را حفظ می کند و منتظر دستورالعمل های بیشتر است. عوامل تهدید تالیوم از بدافزار شناخته شده ای به نام های «BabyShark» و «KimJongRAT» استفاده کرده اند.

این چهارمین گروه فعالیت ملی-دولتی است که مایکروسافت علیه آن اقدامات قانونی مشابهی را برای از بین بردن زیرساخت دامنه مخرب ارائه کرده است. اختلالات قبلی باریم را هدف قرار داده است که از چین فعالیت می کند. استرونتیوم، فعال از روسیه و فسفر، فعال از ایران.

برای محافظت در برابر این نوع تهدیدات، مایکروسافت به کاربران پیشنهاد می‌کند که احراز هویت دو مرحله‌ای را در تمام حساب‌های ایمیل تجاری و شخصی فعال کنند. دوم، کاربران باید یاد بگیرند نحوه شناسایی طرح های فیشینگ و از خود در برابر آنها محافظت کنند. در آخر، فعال کردن هشدارهای امنیتی در مورد لینک ها و فایل های وب سایت های مشکوک و با دقت ارسال ایمیل خود را بررسی کنید قوانین برای هر گونه فعالیت مشکوک