Microsoft rapporterer nå på bloggen sin at de har slått kraftig ned på en beryktet hackergruppe kalt Thallium, som er mistenkt for å ha tilknytning til nordkoreanske myndigheter.
Ved å dokumentere kriminell virksomhet utført av Thallium-gruppen skaffet Microsoft seg nylig en rettskjennelse som satte selskapet i stand til å ta kontroll over 50 ulike domener som skal ha blitt brukt av hackergruppen.
«Spear phishing»
Dermed kan disse domenene altså ikke lenger benyttes av hackergruppen.
_logo.svg.png){kind=logo}
Microsofts to sikkerhetsgrupper DCU (Digital Crimes Unit) og MSTIC (Microsoft Threat Intelligence Center) har fulgt med på Thallium i lengre tid og samlet inn informasjon om gruppens virksomhet, som omfatter et større nettverk av nettsider, domener og datamaskiner.
Dette nettverket har ifølge Microsoft blitt brukt til å stjele sensitiv informasjon fra en rekke forskjellige ofre, deriblant ansatte i offentlig sektor, universitetsansatte og private organisasjoner som blant annet jobber med problematikk knyttet til atomvåpen.
Ny Mac-skadevare bruker «filløse» angrep for å unngå bli fanget opp av antivirus
Thallium skal i stor grad benytte seg av teknikken kjent som «spear phishing» – en psykologisk utspekulert metode som innebærer å samle inn mest mulig informasjon om ofrene gjennom blant annet sosiale medier og andre offentlig tilgjengelige kilder.
Bruker også smart skadevare
Denne informasjon brukes til å lage en «profil» av brukeren som igjen benyttes til å generere skreddersydde e-poster som fremstår legitime og overbevisende for mottakeren. Disse e-postene inneholder gjerne lenker til andre nettsider som for eksempel ber brukeren om å gi fra seg sensitiv informasjon.
Norge bør lede an i det internasjonale arbeidet for digital fred
Ved å skaffe seg tilgang til kontoer benytter Thallium seg også av en innstilling i kontoinnstillingene til ofrene som videresender alle innkommende e-poster, slik at hackergruppen kan fortsette å lese alle e-postene selv etter at passordet er endret.
I tillegg til «spear phishing» er Thallium ifølge Microsoft også skyldige i å spre skadevare i stor skala for å kompromittere systemer og stjele data. Skadevaren som brukes er i stand til å kontinuerlig hente ut data fra infiserte systemer, sikre sin egen tilstedeværelse over lengre tid og motta instrukser.
Som digi.no rapporterte tidligere i år varslet Microsoft nesten 10 000 kunder om at de var blitt utsatt for statlig sponsede dataangrep i 2018. Hele 84 prosent av disse var bedriftskunder, og nordkoreanske Thallium var en av tre hackergrupper som står bak majoriteten av angrepene, ifølge Microsoft.
