Microsoft unesie 50 názvov domén zo skupiny hackerov Thallium

Microsoft zverejnil o svojom najnovšom víťazstve proti štátom podporovaným hackerským skupinám po tom, čo Okresný súd USA pre Východný obvod Virgínie súhlasil s tým, aby Microsoft skonfiškoval 50 doménových mien štátom podporovanej kórejskej hackerskej skupine Thallium.

Táto sieť bola použitá na cielenie obetí a následné kompromitovanie ich online účtov, infikovanie ich počítačov, ohrozenie bezpečnosti ich sietí a krádež citlivých informácií. Na základe informácií o obetiach medzi ciele patrili vládni zamestnanci, think-tanky, zamestnanci univerzity, členovia organizácií zameraných na svetový mier a ľudské práva a jednotlivci, ktorí sa zaoberajú otázkami šírenia jadrových zbraní. Väčšina cieľov bola umiestnená v USA, ako aj v Japonsku a Južnej Kórei.

Thallium sa zvyčajne pokúša oklamať obete pomocou techniky známej ako spear phishing. Zhromažďovaním informácií o cieľových jednotlivcoch zo sociálnych médií, zoznamov verejných zamestnancov organizácií, s ktorými je jednotlivec zapojený, a iných verejných zdrojov dokáže Thallium vytvoriť personalizovaný e-mail typu spear-phishing spôsobom, ktorý cieľu poskytne dôveryhodnosť e-mailu. Obsah je navrhnutý tak, aby vyzeral legitímne, no bližšia kontrola ukazuje, že Thallium sfalšovalo odosielateľa skombinovaním písmen „r“ a „n“, aby sa objavilo ako prvé písmeno „m“ na „microsoft.com“.

Odkaz v e-maile presmeruje používateľa na webovú stránku vyžadujúcu prihlasovacie údaje k účtu používateľa. Oklamaním obetí, aby klikli na podvodné odkazy a poskytli svoje prihlasovacie údaje, sa Thallium dokáže prihlásiť do účtu obete. Po úspešnom napadnutí účtu obete môže Thallium skontrolovať e-maily, zoznamy kontaktov, stretnutia v kalendári a čokoľvek iné, čo vás v napadnutom účte zaujíma. Thallium často vytvára aj nové pravidlo preposielania pošty v nastaveniach účtu obete. Toto pravidlo preposielania pošty prepošle všetky nové e-maily prijaté obeťou na účty kontrolované Thaliom. Pomocou pravidiel preposielania môže Thallium naďalej vidieť e-maily prijaté obeťou, a to aj po aktualizácii hesla účtu obete.

Okrem zacielenia na používateľské poverenia Thallium využíva aj malvér na kompromitovanie systémov a odcudzenie údajov. Po nainštalovaní do počítača obete z neho tento malvér vylúhuje informácie, udržuje stálu prítomnosť a čaká na ďalšie pokyny. Aktéri hrozby Thallium použili známy malvér s názvom „BabyShark“ a „KimJongRAT“.

Toto je štvrtá skupina aktivít v rámci národného štátu, proti ktorej Microsoft podal podobné právne kroky na odstránenie zákernej infraštruktúry domén. Predchádzajúce prerušenia sa zamerali na spoločnosť Barium, ktorá pôsobí z Číny, Stroncium, pôsobiaci z Ruska, a Fosfor, pôsobiaci z Iránu.

Na ochranu pred týmto druhom hrozieb spoločnosť Microsoft odporúča používateľom povoliť dvojfaktorovú autentifikáciu na všetkých obchodných a osobných e-mailových kontách. Po druhé, používatelia sa musia učiť ako rozpoznať phishingové schémy a chrániť sa pred nimi. nakoniec, povoliť bezpečnostné upozornenia o odkazoch a súboroch z podozrivých webových stránok a opatrne skontrolujte preposielanie e-mailov pravidlá pre akúkoľvek podozrivú činnosť.