Microsoft kaappaa 50 verkkotunnusta Tallium-hakkeriryhmältä
3 min. lukea
Päivitetty
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Microsoft on lähettänyt viimeisimmästä voitostaan valtion tukemia hakkeriryhmiä vastaan sen jälkeen, kun Yhdysvaltain Virginian itäisen piirin käräjäoikeus suostui antamaan Microsoftille luvan takavarikoida 50 verkkotunnusta valtion tukemalta korealaselta hakkeriryhmältä Talliumilta.
Tätä verkkoa käytettiin uhrien kohdistamiseen ja heidän online-tiliensä vaarantamiseen, heidän tietokoneidensa saastuttamiseen, verkkojen turvallisuuden vaarantamiseen ja arkaluonteisten tietojen varastamiseen. Uhritietojen perusteella kohteena olivat valtion työntekijät, ajatushautomot, yliopistojen henkilökunta, maailmanrauhaan ja ihmisoikeuksiin keskittyneiden järjestöjen jäsenet sekä ydinaseiden leviämiseen liittyvien kysymysten parissa työskentelevät henkilöt. Suurin osa kohteista sijaitsi Yhdysvalloissa sekä Japanissa ja Etelä-Koreassa.
Tallium yrittää tyypillisesti huijata uhreja käyttämällä tekniikkaa, joka tunnetaan nimellä keihäsphishing. Keräämällä tietoa kohteena olevista henkilöistä sosiaalisesta mediasta, julkisista henkilöhakemistoista organisaatioiden kanssa, joihin henkilö on tekemisissä, ja muista julkisista lähteistä, Thallium pystyy luomaan henkilökohtaisen keihäs-phishing-sähköpostin tavalla, joka antaa sähköpostin uskottavuuden kohteelle. Sisältö on suunniteltu näyttämään aidolta, mutta tarkempi tarkastelu osoittaa, että Thallium on huijannut lähettäjää yhdistämällä kirjaimet "r" ja "n" ensimmäisenä kirjaimena "m" osoitteessa "microsoft.com".
Sähköpostissa oleva linkki ohjaa käyttäjän verkkosivustolle, joka pyytää käyttäjän tilin tunnistetietoja. Thallium voi sitten kirjautua uhrin tilille huijaamalla uhrit napsauttamaan vilpillisiä linkkejä ja antamaan valtuustietonsa. Kun uhritilin vaarantaminen onnistuu, Thallium voi tarkistaa sähköpostit, yhteystietoluettelot, kalenteritapaamiset ja kaiken muun vaarantuneen tilin kiinnostavan. Tallium luo usein myös uuden postin edelleenlähetyssäännön uhrin tiliasetuksiin. Tämä postin edelleenlähetyssääntö välittää kaikki uhrin vastaanottamat uudet sähköpostit talliumin ohjaamille tileille. Välityssääntöjen avulla Tallium näkee edelleen uhrin vastaanottamia sähköpostiviestejä, vaikka uhrin tilin salasana on päivitetty.
Käyttäjien tunnistetietojen kohdistamisen lisäksi Tallium käyttää haittaohjelmia järjestelmien murtamiseen ja tietojen varastamiseen. Kun tämä haittaohjelma on asennettu uhrin tietokoneelle, se suodattaa sieltä tietoja, pysyy jatkuvasti läsnä ja odottaa lisäohjeita. Tallium-uhkatoimijat ovat käyttäneet tunnettuja haittaohjelmia nimeltä "BabyShark" ja "KimJongRAT".
Tämä on neljäs kansallisvaltioiden toimintaryhmä, jota vastaan Microsoft on nostanut samanlaisia oikeudellisia toimia haitallisen verkkotunnuksen infrastruktuurin poistamiseksi. Aiemmat häiriöt ovat kohdistuneet Kiinasta toimivaan Bariumiin, Strontium, joka toimii Venäjältä, ja Fosfori, joka toimii Iranista.
Suojatakseen tällaisia uhkia vastaan Microsoft ehdottaa käyttäjiä ottamaan käyttöön kaksivaiheisen todennuksen kaikilla yritys- ja henkilökohtaisilla sähköpostitileillä. Toiseksi käyttäjien on opittava kuinka tunnistaa tietojenkalastelusuunnitelmat ja suojella itseään niiltä. Lopuksi, ota turvahälytykset käyttöön linkeistä ja tiedostoista epäilyttäviltä verkkosivustoilta ja huolellisesti tarkista sähköpostisi edelleenlähetys epäilyttävää toimintaa koskevat säännöt.
