A Microsoft anunciou que derrubou 50 domínios da web usados anteriormente por um grupo de hackers norte-coreano.
A empresa disse que os 50 domínios foram usados para lançar ataques cibernéticos por um grupo que a empresa está rastreando como Thallium (também conhecido como APT37).
A Microsoft disse que as equipes da Unidade de Crimes Digitais (DCU) e do Microsoft Threat Intelligence Center (MSTIC) acompanham o Thallium há meses, monitorando as atividades do grupo e mapeando sua infraestrutura.
Microsoft derrubou 50 domínios
Em 18 de dezembro, a empresa sediada em Redmond entrou com uma ação contra o Thallium em um tribunal da Virgínia. Pouco depois do Natal, as autoridades americanas concederam à Microsoft uma ordem judicial, permitindo que a empresa de tecnologia assumisse mais de 50 domínios que os hackers norte-coreanos estavam usando como parte de seus ataques.
Os domínios foram usados para enviar e-mails de phishing e hospedar páginas de phishing. Os hackers do Thallium atrairiam as vítimas nesses sites, roubariam suas credenciais e obteriam acesso às suas redes internas. A partir delas, eles aumentariam ainda mais seus ataques.
A Microsoft disse que, além de rastrear as operações ofensivas do Thallium, também rastreou os hosts infectados.
Tom Burt, vice-presidente corporativo da divisão Customer Security & Trust da Microsoft, disse:
Com base nas informações das vítimas, os alvos incluíam funcionários do governo, institutos de pesquisa, funcionários de universidades, membros de organizações focadas na paz mundial e direitos humanos e indivíduos que trabalham em questões de proliferação nuclear.
A maioria dos alvos eram baseados nos EUA, bem como no Japão e na Coreia do Sul.
Assim, o executivo da Microsoft disse que em muitos desses ataques, o objetivo final era infectar as vítimas com malware, como o KimJongRAT e o BabyShark, dois trojans de acesso remoto (RATs).
Burt disse:
Uma vez instalado no computador da vítima, esse malware extrai informações, mantém uma presença persistente e aguarda mais instruções.
Casos similares
Esta não é a primeira vez que a Microsoft usa uma ordem judicial para impedir as operações de grupos de hackers apoiados por governos estrangeiros.
A Microsoft usou essa abordagem 12 vezes contra um grupo russo conhecido como Strontium (APT28, Fancy Bear), derrubando com êxito 84 domínios (a última vez em agosto de 2018).
Além disso, ela usou uma ordem judicial para apreender 99 domínios operados pelo Phosphorus (APT35), uma unidade de espionagem cibernética vinculada ao Irã.
Ainda mais, a Microsoft usou ordens judiciais para interromper as operações do Barium, um grupo de hackers apoiado pelo governo chinês.
Fonte: ZDNET