مایکروسافت 50 دامنه مربوط به هکرهای کره شمالی را از دسترس خارج کرد

مایکروسافت 50 دامنه را که توسط هکرهای کره شمالی برای اقدامات خرابکارانه مورد استفاده قرار می گرفتند از دسترس خارج کرد.

غول نرم افزاری می گوید یک گروه هکری به نام Thallium (که با نام APT37 نیز شناخته می شود)، از 50 دامنه مذکور برای حملات سایبری استفاده می کرده است. مایکروسافت ادامه می دهد که تیم های جرایم دیجیتالی و مرکز تهدید اطلاعاتی این شرکت ماه ها فعالیت های گروه هکری Thallium را تحت نظر داشته و از زیرساخت های آن نقشه برداری کرده اند.

در تاریخ 18 دسامبر (27 آذر)، مایکروسافت در دادگاه ایالت ویرجینیا شکایت نامه ای را علیه گروه هکری Thallium تنظیم کرد. چند روز بعد مقامات آمریکایی چراغ سبز را به مایکروسافت نشان دادند و این شرکت 50 دامنه ای را که هکرهای کره شمالی از آنها در حملات خود استفاده می کردند، از دسترس خارج کرد.

هکرها از دامنه ها برای ارسال ایمیل های فیشینگ و میزبانی از صفحات فیشینگ استفاده می کرده اند. هکرهای گروه Thallium با فریب دادن قربانیان به روش های ذکر شده، نام کاربری و رمز عبور آنها را سرقت کرده و با دسترسی به شبکه های درونی، دامنه حملات خود را گسترده تر می کرده اند.

مایکروسافت علاوه بر ره‌گیری اقدامات خرابکارانه هکرهای یاد شده، هاست های آلوده را نیز شناسایی کرده است. «تام برت» (Tom Burt) یکی از مدیران ارشد بخش امنیت و اعتماد مشتریان مایکروسافت می گوید:

«بر اساس اطلاعات به دست آمده از قربانیان، در بین اهداف مقامات دولتی، مغزهای متفکر، اساتید دانشگاه، اعضای سازمان های صلح جهانی و حقوق بشر و افرادی که در حوزه گسترش جنگ افزارهای هسته ای فعالیت می کنند، به چشم می خورند. اکثر قربانیان در ایالات متحده، ژاپن و کره جنوبی ساکن بوده اند.»

«برت» می گوید در بسیاری از این حملات هدف نهایی هکرها آلوده کردن سیستم قربانی با بدافزارهای دسترسی از راه دور (RAT) مثل KimJongRAT و BabyShark بوده است.

این نخستین مرتبه ای نیست که مایکروسافت از طریق دادگاه اقدامات خرابکارانه هکرهای وابسته به دولت های بیگانه را پیگیری می کند. این شرکت تاکنون 12 مرتبه هکرهای گروه روسی استرونتیوم (که با اسامی Fancy Bear و APT28 شناخته می شوند) را گزارش کرده و 84 دامنه مربوط به آنها را از دسترس خارج کرده است.