Η Microsoft ανακοίνωσε χθες ότι κατάφερε να αποσύρει 50 web domains, που χρησιμοποιούνταν από hackers της Βόρειας Κορέας. Σύμφωνα με την εταιρεία, οι hackers δρούσαν για λογαριασμό της κυβέρνησης της ασιατικής χώρας.
Τα 50 domains είχαν χρησιμοποιηθεί για την πραγματοποίηση επιθέσεων. Η hacking ομάδα είναι γνωστή ως APT37 ή Thallium.
Η Microsoft δήλωσε ότι οι ερευνητικές ομάδες Digital Crimes Unit (DCU) και Microsoft Threat Intelligence Center (MSTIC) παρακολουθούσαν την Thallium για μήνες. Έτσι, ήταν σε θέση να γνωρίζουν τις δραστηριότητές της και την υποδομή της.
Στις 18 Δεκεμβρίου, η Microsoft κατέθεσε αγωγή εναντίον των hackers της Thallium. Λίγο μετά τα Χριστούγεννα, οι αρχές των ΗΠΑ επέτρεψαν στην εταιρεία, μέσω δικαστικής εντολής, να πάρει υπό τον έλεγχο της τα 50 domains που χρησιμοποιούσαν οι hackers της Βόρειας Κορέας για να πραγματοποιήσουν τις επιθέσεις τους.
Σύμφωνα με τη Microsoft, οι hackers χρησιμοποιούσαν τα domains για να στέλνουν phishing emails και να φιλοξενούν phishing sites. Στόχος των hackers ήταν να παρασύρουν τα θύματα σε αυτά τα sites και να κλέψουν τα credentials τους και άλλα στοιχεία. Στη συνέχεια, θα ήταν σε θέση να μπουν στα εσωτερικά δίκτυα των θυμάτων και να πραγματοποιήσουν ακόμα περισσότερες επιθέσεις.
Η Microsoft δήλωσε ότι ήταν σε θέση να παρακολουθήσει και τα μολυσμένα μηχανήματα.
“Με βάση τις πληροφορίες για τα θύματα, οι στόχοι περιελάμβαναν κυβερνητικούς υπαλλήλους, ομάδες προβληματισμού, μέλη πανεπιστημιακού προσωπικού, μέλη οργανώσεων που φροντίζουν για την παγκόσμια ειρήνη και τα ανθρώπινα δικαιώματα και άτομα που εργάζονται σε τομείς που σχετίζονται με την πυρηνική ενέργεια”, δήλωσε ο Tom Burt, βασικό στέλεχος της Microsoft.
Η Microsoft παρατήρησε ότι οι περισσότεροι στόχοι βρίσκονταν στις ΗΠΑ, την Ιαπωνία και τη Νότια Κορέα.
Σε πολλές περιπτώσεις, στόχος των hackers ήταν η μόλυνση των θυμάτων με κάποιο κακόβουλο λογισμικό, όπως το KimJongRAT και το BabyShark (δυο RAT trojans).
Αυτά τα trojans χρησιμοποιούνται για την απόσπαση πληροφοριών από το μηχάνημα του θύματος και για την απόκτηση περισσότερων προνομίων στη συσκευή.
Δεν είναι η πρώτη φορά που η Microsoft κατέφυγε στο δικαστήριο για να σταματήσει τις δραστηριότητες hacking ομάδων που σχετίζονται με ξένες κυβερνήσεις.
Η Microsoft χρησιμοποίησε αυτή την προσέγγιση 12 φορές εναντίον μιας ρωσικής ομάδας, γνωστής ως Strontium (APT28, Fancy Bear). Τότε, είχε καταφέρει να πάρει τον έλεγχο 84 domains.
Το ίδιο έκανε και με την ιρανική hacking ομάδα Phosphorus (APT35), καταλαμβάνοντας 99 domains.
