مایکروسافت دیروز اعلام کرد با موفقیت ۵۰ دامنهی وب را از دسترس خارج کرده است که پیشتر گروه هکری با حمایت دولت کرهشمالی از آنها بهره میبرد. ردموندیها گفتهاند از این ۵۰ دامنه برای اجرای حملات سایبری گروهی موسوم به تالیوم (Thallium) و بهنام اختصاری APT37 استفاده میشد.
مایکروسافت گفته است تیمهای واحد جرایم دیجیتال (DCU) و مرکز اطلاعات مربوط به تهدیدات مایکروسافت (MSTIC) ماهها تالیوم را رصد کردهاند و فعالیتهای این گروه را ردیابی و از زیرساختهای آنها نقشهبرداری کردهاند. ۱۸ دسامبر، غول ردموندی در دادگاه ایالت ویرجینیا دادخواستی علیه گروه تالیوم تنظیم کرد. مدت کوتاهی پس از کریسمس، مقامهای آمریکایی حکم دادگاه را تقدیم مایکروسافت کردند و به این شرکت اجازه دادند کنترل بیش از ۵۰ دامنه را دست بگیرد که هکرهای کرهشمالی از آنها در حملات خود استفاده میکردند.
دامنههای مذکور برای ارسال ایمیلهای فیشینگ و میزبانی از صفحات آن استفاده میشدند. هکرهای تالیوم قربانیانی را در این سایتها فریب میدادند و اطلاعات و اسناد هویتی آنها را به سرقت میبردند و از اطلاعات یادشده برای دسترسی به شبکههای داخلی استفاده میکردند. در نهایت نیز، با بهرهگیری از این دسترسی دایرهی حملاتشان را گستردهتر میکردند.
مایکروسافت میگوید علاوهبر ردیابی عملیات متجاوزانهی تالیوم، هاستهای آلوده را نیز شناسایی کرده است. تام برت، معاون حقوقی بخش امنیت و اعتماد مشتریان در مایکروسافت، گفته است:
طبق اطلاعات بهدستآمده از قربانیان، اهداف [گروه تالیوم] کارمندان دولت، اندیشکدهها، اعضای هیئتعلمی دانشگاهها، اعضای سازمانهای متمرکز بر صلح جهانی و حقوق بشر و اشخاص حقیقی را شامل میشود که درزمینهی اشاعهی [سلاحهای] هستهای فعالیت میکنند. ناگفته نماند بیشتر اهداف در ایالات متحده و ژاپن و کرهجنوبی مستقر بودند.
هنوز مشخص نیست تعداد افرادی که تالیوم هک کرده، چند نفر بودهاند؛ هرچند در دادخواست مایکروسافت ادعا شده است این گروه از سال ۲۰۱۰ تاکنون فعال بوده و در آینده نیز تهدیدی بالقوه خواهند بود. مدیر مایکروسافت اظهار کرد در بسیاری از این حملات، هدف نهایی آلودهکردن سیستمهای قربانیان با بدافزارهایی همچون تروجانهای دسترسی از راه دور (RAT) نظیر KimJongRAT و BabyShark بوده است. او ادامه داد:
بهمحض اینکه این بدافزار روی کامپیوتر قربانی نصب شد، اطلاعات سیستم را استخراج و جای پایش را محکمتر میکند و منتظر دستورالعملهای بیشتری میماند.
مایکروسافت از شرکتهای میزبان دامنهی وبسایتهای مرتبط با تالیوم خواسته است کنترل وبسایتهایشان را در دست بگیرند. ردموندیها همچنین خواهان دریافت خسارتی شدهاند که دادگاه آن را تعیین میکند. این اولینباری نیست که مایکروسافت از حکم دادگاه بهمنظور ایجاد مانع برای عملیات گروههای هکر وابسته به کشورهای خارجی استفاده میکند؛ بلکه تاکنون ۱۲ بار از این روند علیه گروههای هکر روسی بهره برده و ۸۴ دامنهی وب گروههای مذکور را با موفقیت از دسترس خارج کرده است. آخرین مورد مربوط به اوت ۲۰۱۸ است. این شرکت همچنین از حکم دادگاه برای مختلکردن عملیات گروه هکری با حمایت دولت چین با نام Barium استفاده کرده است. البته جزئیات این اقدامات چندان روشن نیست.
ورود به سایت