Microsoft przechwytuje 50 nazw domen należących do grupy hakerów Thallium

Microsoft opublikował o swoim ostatnim zwycięstwie nad sponsorowanymi przez państwo grupami hakerów po tym, jak Sąd Okręgowy Stanów Zjednoczonych dla Wschodniego Okręgu Wirginii zgodził się zezwolić Microsoftowi na skonfiskowanie 50 nazw domen od sponsorowanej przez państwo koreańskiej grupy hakerskiej Thallium.

Sieć ta była wykorzystywana do atakowania ofiar, a następnie narażania ich kont online, infekowania komputerów, naruszania bezpieczeństwa ich sieci i kradzieży poufnych informacji. W oparciu o informacje o ofiarach, celami byli pracownicy rządowi, think tanki, pracownicy uczelni, członkowie organizacji zajmujących się pokojem na świecie i prawami człowieka oraz osoby zajmujące się kwestiami rozprzestrzeniania broni jądrowej. Większość celów znajdowała się w Stanach Zjednoczonych, a także w Japonii i Korei Południowej.

Thalium zazwyczaj próbuje oszukać ofiary za pomocą techniki znanej jako spear phishing. Gromadząc informacje o docelowych osobach z mediów społecznościowych, publicznych katalogów personelu z organizacji, z którymi dana osoba jest zaangażowana, i innych źródeł publicznych, Thallium jest w stanie stworzyć spersonalizowaną wiadomość e-mail typu spear-phishing w sposób, który nada jej wiarygodność dla celu. Treść ma wyglądać na legalną, ale dokładniejsza analiza pokazuje, że Thallium sfałszował nadawcę, łącząc litery „r” i „n”, aby pojawiły się jako pierwsza litera „m” w „microsoft.com”.

Link w wiadomości e-mail przekierowuje użytkownika do strony internetowej żądającej danych uwierzytelniających konto użytkownika. Nakłaniając ofiary do kliknięcia fałszywych linków i podania swoich danych uwierzytelniających, Thallium jest w stanie zalogować się na konto ofiary. Po udanym przejęciu konta ofiary, Thallium może przeglądać wiadomości e-mail, listy kontaktów, spotkania w kalendarzu i wszystko inne, co jest interesujące na zaatakowanym koncie. Tal często tworzy również nową regułę przekazywania poczty w ustawieniach konta ofiary. Ta reguła przekazywania poczty przekaże wszystkie nowe wiadomości e-mail otrzymane przez ofiarę na konta kontrolowane przez tal. Korzystając z reguł przekazywania, Thallium może nadal widzieć wiadomości e-mail otrzymane przez ofiarę, nawet po zaktualizowaniu hasła do konta ofiary.

Oprócz atakowania poświadczeń użytkowników, Thallium wykorzystuje również złośliwe oprogramowanie do włamywania się do systemów i kradzieży danych. Po zainstalowaniu na komputerze ofiary złośliwe oprogramowanie wydobywa z niego informacje, utrzymuje stałą obecność i czeka na dalsze instrukcje. Aktorzy Thalium wykorzystali znane złośliwe oprogramowanie o nazwach „BabyShark” i „KimJongRAT”.

Jest to czwarta grupa aktywności państw narodowych, przeciwko której firma Microsoft wystąpiła z podobnymi działaniami prawnymi w celu usunięcia złośliwej infrastruktury domeny. Poprzednie zakłócenia dotyczyły Barium, działającego z Chin, Stront, działający z Rosji, oraz Fosfor, działający z Iranu.

Aby chronić się przed tego rodzaju zagrożeniami, Microsoft sugeruje użytkownikom włączenie uwierzytelniania dwuskładnikowego na wszystkich firmowych i osobistych kontach e-mail. Po drugie, użytkownicy muszą się uczyć jak rozpoznać oszustwa phishingowe i chroń się przed nimi. W końcu, włącz alerty bezpieczeństwa o linkach i plikach z podejrzanych stron i ostrożnie sprawdź przekierowanie poczty zasady dotyczące wszelkich podejrzanych działań.