微软自称是五角大厦之外,最常被黑客锁定攻击的机构,自身的安全团队也有两把刷子,防范最多人用的操作系统Windows不被侵害。微软公布跟朝鲜网军交手的成果,成功从他们手上取的50个用来发起进攻的域名控制权。
朝鲜黑客代号为Thallium,外界常称为APT37,经常利用多个域名发送钓鱼信和造假的登录页面,期望有人不注意而上当输入账号密码,进而取得账号控制权。Thallium的域名名称常用r与n,两者写在一起常被误认为m。Thallium惯用的恶意程序为BabyShark和KimJongRAT,伺机进入被害人计算机,等待后续的指令。
微软由数字犯罪小组 (Digital Crimes Unit),以及威胁情报资料中心 (Microsoft Threat Intelligence Center, MSTIC) 共同合作,长期监控Thallium黑客组织的身影。最后微软在美国维吉尼亚州法院提起诉讼告Thallium,判决结果微软取得Thallium控制的50个域名控制权。
Thallium的钓鱼信看起来像是微软发出来的,但如果不幸点进去并输入账号密码的话,帐密进跑到黑客手上,用来进行侵入行动。 (Source:Microsoft)
微软说Thallium锁定美国政府职员、智库成员、大学职员、跨国和平与人权非盈利组织工作者,以及在国际反核扩散组织的职员等。Tahllium锁定目标多为美国人,但也有行动是针对日本人或是韩国人。
(首图来源:Flickr/(stephan)CC By 2.0)