متوقف کردن حملات کره شمالی توسط مایکروسافت

به گزارش کارگروه حملات سایبری سایبربان؛ مایکروسافت به تازگی اعلام کرد موفق شده است ۵۰ دامنه‌ای که در گذشته توسط هکرهای دولتی کره شمالی مورد استفاده قرار می‌گرفتند را از دسترسی خارج کند. این ۵۰ دامنه به منظور انجام حملات سایبری گروه هکری به نام تالیوم (Thallium) مورد بهره‌برداری قرار می‌گرفت. این گروه با نام APT37 نیز شناخته شده و منتسب به کره شمالی است.

مایکروسافت توضیح داد واحد جرایم دیجیتالی (DCU) و مرکز اطلاعات تهدید (MSTIC) این شرکت از چندین ماه قبل تالیوم و فعالیت‌های آن را زیر نظر گرفته و زیرساخت‌های آن‌ها را شناسایی کرده است. این شرکت در ۱۸ دسامبر ۲۰۱۹، دادخواستی را علیه تالیوم به دادگاه ویرجینیا ارائه داد. مدت کوتاهی پس از کریسمس نیز به این شرکت اجازه داده شد 50 دامنه یاد شده را از دسترس خارج کند.

از دامنه‌های مذکور به منظور ارسال ایمیل‌های فیشینگ و میزبانی از صفحات فیشینگ بهره گرفته می‌شد. هکرها قربانیان خود را تشویق می‌کردند به این وبگاه‌ها وارد شوند تا بتوانند علاوه بر سرقت اطلاعات اعتبارنامه‌های آن‌ها، به شبکه‌های داخلی دسترسی پیدا کنند. پس از ورود به سامانه‌ها نیز شدت حملات خود را گسترش می‌دادند.

مایکروسافت شرح داد علاوه بر ردیایی عملیات تهاجمی تالیوم، در حال شناسایی میزبان‌های آلوده نیز است.

تام بارت (Tom Burt)، معاونت بخش امنیت و اعتماد مشتری مایکروسافت گفت:

بر پایه اطلاعات قربانی‌ها، اهداف تالیوم شامل کارمندان دولتی، اندیشکده‌ها، دانشگاهیان و سازمان‌هایی می‌شود که روی صلح جهانی، حقوق بشر و فعالان مسائل هسته‌ای تمرکز کرده‌اند. بیشتر اهداف در آمریکا، ژاپن و کره جنوبی بودند.

بارت توضیح داد همه قربانیان پس از آلوده شدن به بدافزارهایی مانند «KimJongRAT» و «BabyShark» آلوده می‌شدند.

وی اظهار کرد:

زمانی که بدافزار روی رایانه قربانی نصب می‌شوند؛ شروع به انتقال غیرقانونی اطلاعات کرده و به منظور دریافت دستورالعمل‌های بعدی حضور خود را حفظ می‌کنند.