مایکروسافت ۵۰ دامنه را از دسترس هکرهای کره‌ شمالی خارج کرد

سه‌شنبه ۱۰ دی ۱۳۹۸ - ۱۴:۳۰
مطالعه 3 دقیقه
مایکروسافت ۵۰ دامنه‌ی وبی را از دسترس خارج کرد که گروه هکری تالیوم برای سرقت اطلاعات از آن‌ها استفاده می‌کرد.
تبلیغات

مایکروسافت دیروز اعلام کرد با موفقیت ۵۰ دامنه‌ی وب را از دسترس خارج کرده است که پیش‌تر گروه هکری با حمایت دولت کره‌شمالی از آن‌ها بهره می‌برد. ردموندی‌ها گفته‌اند از این ۵۰ دامنه برای اجرای حملات سایبری گروهی موسوم به تالیوم (Thallium) و به‌نام اختصاری APT37 استفاده می‎‌شد.

مایکروسافت گفته است تیم‌های واحد جرایم دیجیتال (DCU) و مرکز اطلاعات مربوط به تهدیدات مایکروسافت (MSTIC) ماه‌ها تالیوم را رصد کرده‌‌اند و فعالیت‌های این گروه را ردیابی و از زیرساخت‌های آن‌ها نقشه‌برداری کرده‌اند. ۱۸ دسامبر، غول ردموندی در دادگاه ایالت ویرجینیا دادخواستی علیه گروه تالیوم تنظیم کرد. مدت کوتاهی پس از کریسمس، مقام‌های آمریکایی حکم دادگاه را تقدیم مایکروسافت کردند و به این شرکت اجازه دادند کنترل بیش از ۵۰ دامنه را دست بگیرد که هکرهای کره‌شمالی از آن‌ها در حملات خود استفاده می‌کردند.

دامنه‌های مذکور برای ارسال ایمیل‌های فیشینگ و میزبانی از صفحات آن استفاده می‌شدند. هکرهای تالیوم قربانیانی را در این سایت‌ها فریب می‌دادند و اطلاعات و اسناد هویتی آن‌ها را به سرقت می‌بردند و از اطلاعات یادشده برای دسترسی به شبکه‌های داخلی استفاده می‌کردند. در نهایت نیز، با بهره‌گیری از این دسترسی دایره‌ی حملاتشان را گسترده‌تر می‌کردند.

مایکروسافت می‌گوید علاوه‌بر ردیابی عملیات متجاوزانه‌ی تالیوم، هاست‌های آلوده را نیز شناسایی کرده است. تام برت، معاون حقوقی بخش امنیت و اعتماد مشتریان در مایکروسافت، گفته است:

طبق اطلاعات به‌‌دست‌آمده از قربانیان، اهداف [گروه تالیوم] کارمندان دولت، اندیشکده‌ها، اعضای هیئت‌علمی دانشگاه‌ها، اعضای سازمان‌های متمرکز بر صلح جهانی و حقوق بشر و اشخاص حقیقی را شامل می‌شود که درزمینه‌ی اشاعه‌ی [سلاح‌های] هسته‌ای فعالیت می‌کنند. ناگفته نماند بیشتر اهداف در ایالات متحده و ژاپن و کره‌جنوبی مستقر بودند.
North Korea Microsoft

هنوز مشخص نیست تعداد افرادی که تالیوم هک کرده، چند نفر بوده‌اند؛ هرچند در دادخواست مایکروسافت ادعا شده است این گروه از سال ۲۰۱۰ تاکنون فعال بوده و در آینده نیز تهدیدی بالقوه خواهند بود. مدیر مایکروسافت اظهار کرد در بسیاری از این حملات، هدف نهایی آلوده‌کردن سیستم‌های قربانیان با بدافزارهایی همچون تروجان‌های دسترسی از راه دور (RAT) نظیر KimJongRAT و BabyShark بوده است. او ادامه داد:

به‌محض اینکه این بدافزار روی کامپیوتر قربانی نصب شد، اطلاعات سیستم را استخراج و جای پایش را محکم‌تر می‌کند و منتظر دستورالعمل‌های بیشتری می‌ماند.

مایکروسافت از شرکت‌های میزبان دامنه‌ی وب‌سایت‌های مرتبط با تالیوم خواسته است کنترل وب‌سایت‌هایشان را در دست بگیرند. ردموندی‌ها همچنین خواهان دریافت خسارتی شده‌اند که دادگاه آن را تعیین می‌کند. این اولین‌باری نیست که مایکروسافت از حکم دادگاه به‌منظور ایجاد مانع برای عملیات گروه‌های هکر وابسته به کشورهای خارجی استفاده می‌کند؛ بلکه تاکنون ۱۲ بار از این روند علیه گروه‌های هکر روسی بهره برده و ۸۴ دامنه‌ی وب گروه‌های مذکور را با موفقیت از دسترس خارج کرده است. آخرین مورد مربوط به اوت ۲۰۱۸ است. این شرکت همچنین از حکم دادگاه برای مختل‌کردن عملیات گروه هکری با حمایت دولت چین با نام Barium استفاده کرده است. البته جزئیات این اقدامات چندان روشن نیست.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات