מיקרוסופט חוטפת 50 שמות מתחם מקבוצת ההאקרים Thallium

מיקרוסופט פורסמה על הניצחון האחרון שלה נגד קבוצות האקרים בחסות המדינה לאחר שבית המשפט המחוזי בארה"ב במחוז המזרחי של וירג'יניה הסכים לאפשר למיקרוסופט להחרים 50 שמות דומיין מקבוצת ההאקרים הקוריאנית בחסות המדינה, Thallium.

רשת זו שימשה כדי למקד קורבנות ולאחר מכן לסכן את החשבונות המקוונים שלהם, להדביק את המחשבים שלהם, לסכן את אבטחת הרשתות שלהם ולגנוב מידע רגיש. בהתבסס על מידע על הקורבנות, היעדים כללו עובדי ממשלה, צוותי חשיבה, אנשי צוות באוניברסיטאות, חברי ארגונים המתמקדים בשלום עולמי וזכויות אדם, ואנשים שעובדים בנושאי הפצת נשק גרעיני. רוב המטרות היו מבוססות בארה"ב, כמו גם ביפן ובדרום קוריאה.

תליום בדרך כלל מנסה להערים על קורבנות באמצעות טכניקה המכונה דיוג חנית. על ידי איסוף מידע על האנשים הממוקדים ממדיה חברתית, מדריכי עובדים ציבוריים מארגונים שהפרט מעורב בהם וממקורות ציבוריים אחרים, Thallium מסוגלת ליצור דוא"ל ספייר-פישינג מותאם אישית באופן המעניק לדוא"ל אמינות למטרה. התוכן נועד להיראות לגיטימי, אך סקירה מדוקדקת יותר מראה שתליום זייפה את השולח על ידי שילוב האותיות "r" ו-"n" כדי להופיע בתור האות הראשונה "m" ב-"microsoft.com".

הקישור במייל מפנה את המשתמש לאתר המבקש את אישורי החשבון של המשתמש. על ידי הטעיית קורבנות ללחוץ על קישורי הונאה ולספק את האישורים שלהם, Thallium מסוגל להיכנס לחשבון של הקורבן. לאחר פשרה מוצלחת של חשבון קורבן, Thallium יכול לסקור מיילים, רשימות אנשי קשר, פגישות בלוח השנה וכל דבר אחר שמעניין בחשבון שנפרץ. Thallium יוצר לרוב גם כלל חדש להעברת דואר בהגדרות החשבון של הקורבן. כלל העברת דואר זה יעביר את כל האימיילים החדשים שיתקבלו על ידי הקורבן לחשבונות בשליטת תליום. על ידי שימוש בכללי העברה, Thallium יכול להמשיך לראות דוא"ל שהתקבל על ידי הקורבן, גם לאחר עדכון סיסמת החשבון של הקורבן.

בנוסף למיקוד אישורי משתמש, Thallium גם משתמש בתוכנה זדונית כדי לסכן מערכות ולגנוב נתונים. לאחר ההתקנה על מחשבו של הקורבן, תוכנה זדונית זו מסננת ממנו מידע, שומרת על נוכחות מתמשכת ומחכה להנחיות נוספות. שחקני איומי תליום השתמשו בתוכנה זדונית ידועה בשם "BabyShark" ו-"KimJongRAT".

זוהי קבוצת הפעילות הרביעית של המדינה נגדה מיקרוסופט הגישה פעולות משפטיות דומות להסרת תשתית דומיינים זדונית. שיבושים קודמים כוונו לבריום, הפועל מסין, סטרונציום, הפועל מרוסיה, ו זרחן, הפועל מאיראן.

כדי להגן מפני איומים מסוג זה, מיקרוסופט מציעה למשתמשים להפעיל אימות דו-גורמי בכל חשבונות הדוא"ל העסקיים והאישיים. שנית, המשתמשים צריכים ללמוד כיצד לזהות תוכניות דיוג ולהגן על עצמם מפניהם. לבסוף, לאפשר התראות אבטחה על קישורים וקבצים מאתרים חשודים ובזהירות בדוק את העברת הדוא"ל שלך כללים לכל פעילות חשודה.