Microsoft a anuntat astazi ca a inchis 50 de domenii web folosite anterior de un grup de hackeri sustinut de guvernul nord-coreean intitulat Thallium.

 

Microsoft a spus ca cele 50 de domenii au fost folosite pentru a lansa atacuri cibernetice de catre un grup pe care compania il urmareste sub denumirea de Thallium (cunoscut si sub numele de APT37).

 

Microsoft a declarat ca echipele Digital Crimes Unit (DCU) si echipele Microsoft Threat Intelligence Center (MSTIC) monitorizeaza Thallium de luni de zile, urmaresc activitatile grupului si mapeaza infrastructura acestuia.

 

Pe 18 decembrie, compania cu sediul in Redmond a inaintat un proces impotriva Thallium intr-un tribunal din Virginia. La scurt timp dupa Craciun, autoritatile americane au acordat Microsoft o hotarare judecatoreasca, permitand companiei tehnologice sa preia peste 50 de domenii pe care hackerii nord-coreeni le-au folosit ca parte a atacurilor lor.

 

Domeniile au fost utilizate pentru a trimite emailuri de tip phishing si a gazdui pagini de phishing. Hackerii atrageau victimele pe aceste site-uri, le furau datele si obtinand apoi acces la retelele interne, de unde isi escaladau atacurile.

 

Microsoft a spus ca, pe langa urmarirea operatiunilor ofensive ale lui Thallium, a urmarit si gazdele infectate.

 

„Pe baza informatiilor despre victime, obiectivele includeau angajati guvernamentali, membri ai personalului universitatilor, membri ai organizatiilor concentrate pe pacea mondiala si drepturile omului si persoane care lucreaza pe probleme de proliferare nucleara”, a declarat astazi Tom Burt, vicepresedinte corporativ al departamentului de Securitatea si Increderea clientilor la Microsoft.

 

“Cele mai multe tinte au avut sediul in SUA, precum si Japonia si Coreea de Sud”, a adaugat Burt.

 

Executorul Microsoft a spus ca in multe dintre aceste atacuri, obiectivul final a fost infectarea victimelor cu malware, precum KimJongRAT si BabyShark, doua troiene cu acces de la distanta (RAT).

 

“Odata instalat pe computerul unei victime, acest malware exfiltreaza informatiile din acesta, mentine o prezenta persistenta si asteapta instructiuni suplimentare”, a spus Burt.

 

Nu este prima data cand Microsoft a folosit un ordin judecatoresc pentru a impiedica operatiunile grupurilor de hackeri sustinute de guvern.

 

Microsoft a folosit aceasta abordare de 12 ori impotriva unui grup rus cunoscut sub numele de Strontium (APT28, Fancy Bear), eliminand cu succes 84 de domenii – ultima data fiind in august 2018.

 

De asemenea, a folosit o hotarare judecatoreasca pentru confiscarea a 99 de domenii operate de Fosfor (APT35), o grupare de spionaj cibernetic legata de Iran.

 

De asemenea, Microsoft a folosit ordinele judecatoresti pentru a perturba operatiunile Barium, un grup de hackeri sustinut de guvernul chinez, desi detaliile despre aceste actiuni nu sunt numeroase.