微软自称是五角大厦之外,最常被骇客锁定攻击的机构,自身的资安团队也有两把刷子,防范最多人用的操作系统 Windows 不被侵害。微软公布跟北朝鲜网军交手的成果,成功从他们手上取的 50 个用来发起进攻的网域控制权。
北朝鲜骇客代号为 Thallium,外界常称为 APT37,经常利用多个网域寄送钓鱼信和造假的登入页面,期望有人不注意而上当输入账号密码,进而取得账号控制权。Thallium 的网域名称常用 r 与 n,两者写在一起常被误认为 m。Thallium 惯用的恶意程式为 BabyShark 和 KimJongRAT,伺机进入被害人电脑,等待后续的指令。
微软由数位犯罪小组 (Digital Crimes Unit),以及威胁情资中心 (Microsoft Threat Intelligence Center, MSTIC) 共同合作,长期监控 Thallium 骇客组织的身影。最后微软在美国维吉尼亚州法院提起诉讼告 Thallium,判决结果微软取得 Thallium 控制的 50 个网域控制权。
▲ Thallium 的钓鱼信看起来像是微软发出来的,但如果不幸点进去并输入账号密码的话,帐密进跑到骇客手上,用来进行侵入行动。(Source:Microsoft)
微软说 Thallium 锁定美国-职员、智库成员、大学职员、跨国和平与人权非营利组织工作者,以及在国际反核扩散组织的职员等。Tahllium 锁定目标多为美国人,但也有行动是针对日本人或是韩国人。
先前微软就有用法律手段对付网络交手的骇客组织,据微软说法对付 Thallium 算进去的话已经是第四起了,先前交手的国家力量在背后的有中国、俄罗斯、伊朗。其中俄罗斯恶名昭彰的 Strontium (APT28, Fancy Bear),微软就用了 12 次诉讼手段,成功拿下 84 个网域。
- Microsoft takes down 50 domains operated by North Korean hackers
- North Korean hackers stole ‘highly sensitive information’ from Microsoft users, company alleges
(首图来源:Flickr/(stephan) CC By 2.0)
