Microsoft lutte contre le hacking nord-coréen. La société de Redmond vient de supprimer cinquante noms de domaine exploités par un groupe de hackers du pays, connu sous le nom de Thallium, ou APT37. Il était surveillé depuis plusieurs mois par la Digital Crimes Unit et le Threat Intelligence Center de Microsoft.
Les noms de domaine en question étaient utilisés pour envoyer des e-mails de phishing ou hébergeaient eux-mêmes des pages de hameçonnage. Les hackers collectaient ainsi les identifiants des victimes pour ensuite accéder à leurs réseaux internes professionnels.
Des cibles choisies avec soin
Les cibles étaient des employés gouvernementaux, de groupes de réflexion, du personnel universitaire, des membres d’organisations traitant des droits de l’homme, ainsi que des personnes travaillant sur les questions de prolifération nucléaire. Ils étaient en majorité basés aux Etats-Unis, au Japon et en Corée du Sud.
L’objectif final de ces phishings étaient d’infecter les ordinateurs des victimes avec des logiciels malveillants tels que KimJongRAT ou BabyShark, deux chevaux de Troie déjà connus des spécialistes. Ces « trojans » pouvaient alors exfiltrer des informations déjà présentes sur les machines, ainsi que toutes celles ajoutées ensuite.
Une ordonnance du tribunal
Pour pouvoir mettre la main sur ces noms de domaine, Microsoft avait tout d’abord déposé une plainte contre Thallium le 18 décembre dernier auprès d’un tribunal de Virginie. Peu de temps après Noël, les autorités américaines ont alors accordé à la société une ordonnance du tribunal l’autorisant à supprimer ces 50 noms de domaine.
Cette approche avait auparavant été utilisée par Microsoft une douzaine de fois contre le groupe russe Strontium (APT28 ou encore Fancy Bear). Cela lui avait permis de supprimer 84 noms de domaine en août 2018.
Source : ZDNet
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.