مایکروسافت 50 نام دامنه را از گروه هکر Thallium ربود
3 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
مایکروسافت پست کرده است در مورد آخرین پیروزی خود در برابر گروه های هکری تحت حمایت دولتی پس از اینکه دادگاه منطقه ای ایالات متحده برای ناحیه شرقی ویرجینیا موافقت کرد که به مایکروسافت اجازه دهد 50 نام دامنه را از گروه هکر کره ای تالیم که توسط دولت حمایت می شود، مصادره کند.
این شبکه برای هدف قرار دادن قربانیان و سپس به خطر انداختن حساب های آنلاین آنها، آلوده کردن رایانه های آنها، به خطر انداختن امنیت شبکه های آنها و سرقت اطلاعات حساس مورد استفاده قرار می گرفت. بر اساس اطلاعات قربانیان، این اهداف شامل کارمندان دولت، اندیشکدهها، کارکنان دانشگاه، اعضای سازمانهای متمرکز بر صلح جهانی و حقوق بشر، و افرادی بود که روی موضوعات اشاعه هستهای کار میکنند. بیشتر اهداف در ایالات متحده و همچنین ژاپن و کره جنوبی مستقر بودند.
تالیم معمولاً سعی می کند قربانیان را از طریق تکنیکی به نام spear phishing فریب دهد. با جمعآوری اطلاعات در مورد افراد مورد نظر از رسانههای اجتماعی، فهرستهای پرسنل عمومی از سازمانهایی که فرد با آنها درگیر است و سایر منابع عمومی، تالیوم میتواند ایمیل شخصیسازی شده فیشینگ را به گونهای ایجاد کند که اعتبار ایمیل را به هدف بدهد. محتوا طوری طراحی شده است که قانونی به نظر برسد، اما بررسی دقیق تر نشان می دهد که Thallium با ترکیب حروف "r" و "n" فرستنده را جعل کرده است تا به عنوان اولین حرف "m" در "microsoft.com" ظاهر شود.
پیوند موجود در ایمیل کاربر را به وبسایتی هدایت میکند که اطلاعات کاربری حساب کاربر را درخواست میکند. با فریب قربانیان برای کلیک کردن بر روی پیوندهای تقلبی و ارائه اعتبار آنها، Thallium میتواند به حساب قربانی وارد شود. پس از به خطر انداختن موفقیت آمیز یک حساب قربانی، Thallium می تواند ایمیل ها، لیست تماس ها، قرار ملاقات های تقویم و هر چیز دیگری را که در حساب در معرض خطر قرار دارد بررسی کند. Thallium اغلب یک قانون جدید برای ارسال نامه در تنظیمات حساب قربانی ایجاد می کند. این قانون حمل و نقل نامه، تمام ایمیلهای جدید دریافت شده توسط قربانی را به حسابهای کنترل شده با تالیم ارسال میکند. با استفاده از قوانین حمل و نقل، تالیوم میتواند همچنان ایمیلهای دریافتی قربانی را ببیند، حتی پس از بهروزرسانی رمز عبور حساب قربانی.
Thallium علاوه بر هدف قرار دادن اعتبار کاربران، از بدافزار برای به خطر انداختن سیستم ها و سرقت داده ها نیز استفاده می کند. پس از نصب بر روی رایانه قربانی، این بدافزار اطلاعات را از آن استخراج می کند، حضور دائمی خود را حفظ می کند و منتظر دستورالعمل های بیشتر است. عوامل تهدید تالیوم از بدافزار شناخته شده ای به نام های «BabyShark» و «KimJongRAT» استفاده کرده اند.
این چهارمین گروه فعالیت ملی-دولتی است که مایکروسافت علیه آن اقدامات قانونی مشابهی را برای از بین بردن زیرساخت دامنه مخرب ارائه کرده است. اختلالات قبلی باریم را هدف قرار داده است که از چین فعالیت می کند. استرونتیوم، فعال از روسیه و فسفر، فعال از ایران.
برای محافظت در برابر این نوع تهدیدات، مایکروسافت به کاربران پیشنهاد میکند که احراز هویت دو مرحلهای را در تمام حسابهای ایمیل تجاری و شخصی فعال کنند. دوم، کاربران باید یاد بگیرند نحوه شناسایی طرح های فیشینگ و از خود در برابر آنها محافظت کنند. در آخر، فعال کردن هشدارهای امنیتی در مورد لینک ها و فایل های وب سایت های مشکوک و با دقت ارسال ایمیل خود را بررسی کنید قوانین برای هر گونه فعالیت مشکوک