Microsoft rapporterer nå på bloggen sin at de har slått kraftig ned på en beryktet hackergruppe kalt Thallium, som er mistenkt for å ha tilknytning til nordkoreanske myndigheter.
Ved å dokumentere kriminell virksomhet utført av Thallium-gruppen skaffet Microsoft seg nylig en rettskjennelse som satte selskapet i stand til å ta kontroll over 50 ulike domener som skal ha blitt brukt av hackergruppen.
«Spear phishing»
Dermed kan disse domenene altså ikke lenger benyttes av hackergruppen.
Microsofts to sikkerhetsgrupper DCU (Digital Crimes Unit) og MSTIC (Microsoft Threat Intelligence Center) har fulgt med på Thallium i lengre tid og samlet inn informasjon om gruppens virksomhet, som omfatter et større nettverk av nettsider, domener og datamaskiner.
Dette nettverket har ifølge Microsoft blitt brukt til å stjele sensitiv informasjon fra en rekke forskjellige ofre, deriblant ansatte i offentlig sektor, universitetsansatte og private organisasjoner som blant annet jobber med problematikk knyttet til atomvåpen.
Ny Mac-skadevare bruker «filløse» angrep for å unngå bli fanget opp av antivirus
Thallium skal i stor grad benytte seg av teknikken kjent som «spear phishing» – en psykologisk utspekulert metode som innebærer å samle inn mest mulig informasjon om ofrene gjennom blant annet sosiale medier og andre offentlig tilgjengelige kilder.
Bruker også smart skadevare
Denne informasjon brukes til å lage en «profil» av brukeren som igjen benyttes til å generere skreddersydde e-poster som fremstår legitime og overbevisende for mottakeren. Disse e-postene inneholder gjerne lenker til andre nettsider som for eksempel ber brukeren om å gi fra seg sensitiv informasjon.
Norge bør lede an i det internasjonale arbeidet for digital fred
Ved å skaffe seg tilgang til kontoer benytter Thallium seg også av en innstilling i kontoinnstillingene til ofrene som videresender alle innkommende e-poster, slik at hackergruppen kan fortsette å lese alle e-postene selv etter at passordet er endret.
I tillegg til «spear phishing» er Thallium ifølge Microsoft også skyldige i å spre skadevare i stor skala for å kompromittere systemer og stjele data. Skadevaren som brukes er i stand til å kontinuerlig hente ut data fra infiserte systemer, sikre sin egen tilstedeværelse over lengre tid og motta instrukser.
Som digi.no rapporterte tidligere i år varslet Microsoft nesten 10 000 kunder om at de var blitt utsatt for statlig sponsede dataangrep i 2018. Hele 84 prosent av disse var bedriftskunder, og nordkoreanske Thallium var en av tre hackergrupper som står bak majoriteten av angrepene, ifølge Microsoft.
