Microsoft otima 50 imena domena od grupe hakera Thallium

microsoft je objavio o svojoj posljednjoj pobjedi protiv hakerskih grupa koje sponzorira država nakon što je američki Okružni sud za istočni okrug Virginije pristao dopustiti Microsoftu da zaplijeni 50 imena domena od državno sponzorirane korejske hakerske grupe Thallium.

Ova mreža korištena je za ciljanje žrtava, a zatim kompromitiranje njihovih mrežnih računa, zarazu njihovih računala, ugrožavanje sigurnosti njihovih mreža i krađu osjetljivih informacija. Na temelju informacija o žrtvama, mete su uključivale vladine službenike, think tankove, članove sveučilišnog osoblja, članove organizacija usmjerenih na svjetski mir i ljudska prava te pojedince koji rade na pitanjima nuklearnog proliferacije. Većina ciljeva nalazila se u SAD-u, kao iu Japanu i Južnoj Koreji.

Talij obično pokušava prevariti žrtve tehnikom poznatom kao spear phishing. Prikupljajući informacije o ciljanim pojedincima s društvenih medija, imenika javnog osoblja iz organizacija s kojima je pojedinac uključen i drugih javnih izvora, Thallium može izraditi personaliziranu e-poštu za krađu identiteta na način koji daje e-mailu vjerodostojnost meti. Sadržaj je osmišljen tako da se čini legitimnim, ali detaljniji pregled pokazuje da je talij prevario pošiljatelja kombinirajući slova “r” i “n” kako bi se pojavila kao prvo slovo “m” na “microsoft.com”.

Veza u e-poruci preusmjerava korisnika na web-stranicu koja zahtijeva vjerodajnice korisničkog računa. Prevarivši žrtve da kliknu na lažne veze i dajući svoje vjerodajnice, Thallium se tada može prijaviti na žrtvin račun. Nakon uspješnog kompromitiranja računa žrtve, Thallium može pregledati e-poštu, popise kontakata, termine u kalendaru i sve ostalo što je zanimljivo na kompromitiranom računu. Talij često također stvara novo pravilo prosljeđivanja pošte u postavkama žrtvinog računa. Ovo pravilo prosljeđivanja pošte proslijedit će sve nove poruke e-pošte koje je žrtva primila na račune pod kontrolom Talija. Korištenjem pravila prosljeđivanja, Thalium može nastaviti vidjeti e-poštu koju je žrtva primila, čak i nakon što se ažurira lozinka žrtvinog računa.

Osim što cilja na korisničke vjerodajnice, Thallium također koristi zlonamjerni softver za kompromitiranje sustava i krađu podataka. Nakon što je instaliran na žrtvino računalo, ovaj zlonamjerni softver izvlači informacije iz njega, održava trajnu prisutnost i čeka daljnje upute. Akteri prijetnji iz Thalliuma koristili su poznati zlonamjerni softver pod nazivom “BabyShark” i “KimJongRAT”.

Ovo je četvrta grupa aktivnosti nacionalne države protiv koje je Microsoft podnio slične pravne tužbe za uklanjanje zlonamjerne infrastrukture domene. Prethodni poremećaji bili su usmjereni na barij, koji djeluje iz Kine, stroncijum, koji posluje iz Rusije, i Fosfor, koji djeluje iz Irana.

Kako bi se zaštitio od ove vrste prijetnji, Microsoft predlaže korisnicima da omoguće dvofaktornu provjeru autentičnosti na svim poslovnim i osobnim računima e-pošte. Drugo, korisnici moraju učiti kako uočiti phishing sheme i zaštititi se od njih. Posljednje, omogućiti sigurnosna upozorenja o poveznicama i datotekama sa sumnjivih web-mjesta i pažljivo provjerite prosljeđivanje e-pošte pravila za svaku sumnjivu aktivnost.