Microsoft je ugrabil 50 domenskih imen od hekerske skupine Thallium

Microsoft je objavil o svoji zadnji zmagi nad hekerskimi skupinami, ki jih sponzorira država, potem ko je ameriško okrožno sodišče za vzhodno okrožje Virginije odobrilo Microsoftu, da zapleni 50 domenskih imen korejski hekerski skupini Thallium, ki jo sponzorira država.

To omrežje je bilo uporabljeno za ciljanje na žrtve in nato ogrožanje njihovih spletnih računov, okužbo njihovih računalnikov, ogrožanje varnosti njihovih omrežij in krajo občutljivih informacij. Na podlagi informacij o žrtvah so tarče vključevale vladne uslužbence, možganske truste, univerzitetno osebje, člane organizacij, ki se osredotočajo na svetovni mir in človekove pravice, ter posameznike, ki se ukvarjajo z vprašanji širjenja jedrskega orožja. Večina tarč je imela sedež v ZDA, pa tudi na Japonskem in v Južni Koreji.

Talij običajno poskuša pretentati žrtve s tehniko, znano kot spear phishing. Z zbiranjem informacij o ciljnih posameznikih iz družbenih medijev, imenikov javnih kadrov iz organizacij, s katerimi je posameznik povezan, in drugih javnih virov, lahko Thallium izdela personalizirano e-pošto za lažno predstavljanje na način, ki daje e-poštnemu sporočilu verodostojnost. Vsebina je zasnovana tako, da je videti legitimna, vendar natančnejši pregled pokaže, da je talij prevaral pošiljatelja tako, da je združil črki »r« in »n«, da se pojavi kot prva črka »m« v »microsoft.com«.

Povezava v e-poštnem sporočilu uporabnika preusmeri na spletno mesto, ki zahteva poverilnice za uporabniški račun. Z zavajanjem žrtev, da kliknejo na goljufive povezave in zagotovijo svoje poverilnice, se lahko Thallium nato prijavi v žrtvin račun. Po uspešni ogroženosti računa žrtve lahko Thallium pregleda e-pošto, sezname stikov, sestanke v koledarju in karkoli drugega, kar zanima v ogroženem računu. Talij pogosto ustvari tudi novo pravilo za posredovanje pošte v nastavitvah računa žrtve. To pravilo za posredovanje pošte bo vsa nova e-poštna sporočila, ki jih prejme žrtev, posredovala na račune, ki jih nadzoruje talij. Z uporabo pravil za posredovanje lahko Thallium še naprej vidi e-pošto, ki jo prejme žrtev, tudi po posodobitvi gesla za račun žrtve.

Poleg ciljanja na uporabniške poverilnice Thallium uporablja tudi zlonamerno programsko opremo za ogrožanje sistemov in krajo podatkov. Ko je ta zlonamerna programska oprema nameščena na žrtvin računalnik, iz njega izloči informacije, vzdržuje stalno prisotnost in čaka na nadaljnja navodila. Akterji grožnje Thallium so uporabili znano zlonamerno programsko opremo z imenom »BabyShark« in »KimJongRAT«.

To je četrta skupina dejavnosti nacionalne države, proti kateri je Microsoft vložil podobne pravne tožbe za odstranitev zlonamerne domenske infrastrukture. Prejšnje motnje so bile usmerjene na barij, ki deluje iz Kitajske, Stroncij, ki deluje iz Rusije, in Fosfor, ki deluje iz Irana.

Za zaščito pred tovrstnimi grožnjami Microsoft predlaga uporabnikom, da omogočijo dvofaktorsko preverjanje pristnosti za vse poslovne in osebne e-poštne račune. Drugič, uporabniki se morajo naučiti kako odkriti phishing sheme in se zaščitijo pred njimi. nazadnje, omogočiti varnostna opozorila o povezavah in datotekah s sumljivih spletnih mest in previdno preverite posredovanje e-pošte pravila za vsako sumljivo dejavnost.