
Opérant depuis la Corée du Nord, il ciblait entre autres des employés de gouvernement
Microsoft Corp a déclaré lundi avoir pris le contrôle de domaines Web utilisés par un groupe de piratage appelé «Thallium» pour voler des informations. Thallium est censé opérer depuis la Corée du Nord, a déclaré Microsoft dans un article de blog, et les pirates ont ciblé des employés du gouvernement, des groupes de réflexion, des membres du personnel universitaire et des personnes travaillant sur des questions de prolifération nucléaire, entre autres. La plupart des cibles étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud, a indiqué la société.
Thallium a trompé les victimes grâce à une technique connue sous le nom de «spear phishing», utilisant des e-mails d'aspect crédible qui semblent légitimes à première vue. Microsoft a déclaré qu'il contrôlait désormais 50 domaines Web utilisés par le groupe pour mener ses opérations, à la suite d'une plainte déposée contre le groupe de piratage auprès du tribunal de district américain pour le district oriental de Virginie, et d'une ordonnance judiciaire ultérieure.
Thallium a également utilisé des logiciels malveillants pour compromettre les systèmes et voler des données, et est le quatrième groupe d'État contre lequel Microsoft a intenté une action en justice, a déclaré la société.
« Le 27 décembre, un tribunal de district américain a dévoilé des documents détaillant le travail effectué par Microsoft pour perturber les cyberattaques d'un groupe de menaces que nous appelons Thallium, qui opérerait depuis la Corée du Nord. Notre procès contre Thallium, déposé auprès du tribunal de district américain du district oriental de Virginie, a abouti à une décision de justice permettant à Microsoft de prendre le contrôle de 50 domaines que le groupe utilise pour mener ses opérations. Avec cette action, les sites ne peuvent plus être utilisés pour exécuter des attaques.
« L'unité Digital Crimes Unit (DCU) de Microsoft et le Microsoft Threat Intelligence Center (MSTIC) ont suivi et collecté des informations sur Thallium, surveillant les activités du groupe pour établir et exploiter un réseau de sites Web, de domaines et d'ordinateurs connectés à Internet. Ce réseau a été utilisé pour cibler les victimes, puis compromettre leurs comptes en ligne, infecter leurs ordinateurs, compromettre la sécurité de leurs réseaux et voler des informations sensibles. Sur la base des informations sur les victimes, les cibles étaient les employés du gouvernement, les groupes de réflexion, les membres du personnel universitaire, les membres d'organisations axées sur la paix dans le monde et les droits de l'homme, et les individus qui travaillent sur les questions de prolifération nucléaire. La plupart des cibles étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud.
« Comme beaucoup de cybercriminels et d'acteurs de menaces, Thallium tente généralement de piéger les victimes grâce à une technique connue sous le nom de spear phishing. En collectant des informations sur les individus ciblés à partir des médias sociaux, des répertoires du personnel public des organisations avec lesquelles l'individu est impliqué et d'autres sources publiques, Thallium est en mesure de créer un e-mail de spear-phishing personnalisé de manière à lui donner de la crédibilité. Comme le montre l'exemple d'e-mail de spear-phishing ci-dessous, le contenu est conçu pour sembler légitime, mais un examen plus approfondi montre que Thallium a usurpé l'expéditeur en combinant les lettres "r" et "n" pour qu'elle s'affiche comme la première lettre "m" dans "microsoft.com".
« Le lien dans l'e-mail redirige l'utilisateur vers un site Web demandant les informations d'identification du compte de l'utilisateur. En incitant les victimes à cliquer sur les liens frauduleux et à fournir leurs informations d'identification, Thallium est alors en mesure de se connecter au compte de la victime. En cas de compromission réussie d'un compte victime, Thallium peut consulter les e-mails, les listes de contacts, les rendez-vous du calendrier et tout autre élément intéressant le compte compromis. Thallium crée également souvent une nouvelle règle de transfert de courrier dans les paramètres du compte de la victime. Cette règle de transfert de courrier transfère tous les nouveaux e-mails reçus par la victime vers des comptes contrôlés par Thallium. En utilisant les règles de transfert, Thallium peut continuer à voir les e-mails reçus par la victime, même après la mise à jour du mot de passe de son compte.
« En plus de cibler les informations d'identification des utilisateurs, Thallium utilise également des logiciels malveillants pour compromettre les systèmes et voler des données. Une fois installé sur l'ordinateur d'une victime, ce malware en exfiltre les informations, maintient une présence persistante et attend des instructions supplémentaires. Les acteurs de la menace Thallium ont utilisé des logiciels malveillants connus nommés "BabyShark" et "KimJongRAT".
« Il s'agit du quatrième groupe d'activités de l'État-nation contre lequel Microsoft a déposé des actions en justice similaires pour supprimer l'infrastructure de domaine malveillante. Les perturbations précédentes ont ciblé Barium, opérant depuis la Chine, Strontium, opérant depuis la Russie, et Phosphorus, opérant depuis l'Iran. Ces actions ont entraîné le retrait de centaines de domaines, la protection de milliers de victimes et amélioré la sécurité de l'écosystème.
« Comme nous l'avons dit dans le passé, nous pensons qu'il est important de partager une activité de menace importante comme celle que nous annonçons aujourd'hui. Nous pensons qu'il est essentiel que les gouvernements et le secteur privé soient de plus en plus transparents sur l'activité des États-nations afin que nous puissions tous poursuivre le dialogue mondial sur la protection d'Internet. Nous espérons également que la publication de ces informations contribuera à sensibiliser les organisations et les individus aux mesures à prendre pour se protéger ».
Comment se protéger ?
Pour se protéger contre ce type de menaces, Microsoft suggère aux utilisateurs d'activer l'authentification à deux facteurs sur tous les comptes de messagerie professionnels et personnels.
Pensez également à activer les alertes de sécurité sur les liens et les fichiers provenant de sites Web suspects et vérifiez soigneusement vos règles de transfert de courrier électronique pour toute activité suspecte. Pour activer ou désactiver les alertes de sécurité menant à des sites web suspects :
- Dans un programme Office, cliquez sur l’onglet Fichier.
- Cliquez sur Options.
- Cliquez sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
- Cliquez sur Options de confidentialité.
- Sous Options de confidentialité, activez ou désactivez la case à cocher Vérifier que les documents Microsoft Office n’ont pas subi de tentatives d’usurpation d’identité au niveau des noms de domaines internationaux.
- Cliquez sur OK.
L’image suivante est un exemple de la zone Options de confidentialité du Centre de gestion de la confidentialité.
Il est également conseillé d'apprendre à se protéger contre les techniques de phishing et d’autres formes de fraude en ligne. Si un avertissement relatif au phishing apparaît, une tentative de phishing est probablement en cours. Cela peut se produire de plusieurs façons décrites ci-après. Microsoft utilise des algorithmes, des systèmes de notation et l’apprentissage automatique pour détecter les signaux et vous informer en cas de tentative potentielle de phishing.
Il y a vraisemblablement tentative de fraude lorsque vous êtes invité à :
- fournir des informations personnelles à une source inconnue ;
- vérifier les informations de votre compte pour empêcher la suspension de ce dernier ;
- vendre un article avec une promesse de rétribution bien supérieure à la valeur de l’article ;
- effectuer des dons d’argent en direct.
Malheureusement, dans la mesure où les attaques par phishing sont de plus en plus sophistiquées, il est très difficile pour une personne non expérimentée de savoir si un courrier électronique ou un site web est frauduleux. Les techniques de phishing sont aussi nombreuses qu’efficaces. Ainsi, de nombreux courriers électroniques et sites web falsifiés incluent des liens vers des logos de marques connues, ce qui leur assure par conséquent une légitimité. Voici plusieurs conseils pour vous protéger :
[LIST][*]Demandes d’informations personnelles par courrier électronique : La plupart des sociétés légitimes ne vous demandent pas d’informations personnelles par courrier électronique. Soyez très vigilant si vous recevez un courrier vous demandant des informations personnelles, même s’il a l’air légitime.[*]Formulation urgente :La formulation des messages électroniques de phishing est généralement polie et agréable. Elle tente généralement de vous faire répondre au message ou de faire cliquer sur le lien inclus dans le message. Pour augmenter le nombre de réponses, l’auteur du message tente de lui conférer un caractère urgent afin que vous répondiez rapidement, sans trop réfléchir. Généralement, les messages électroniques usurpant une identité ne sont pas personnalisés, alors que ceux provenant de votre banque ou d’une société de commerce en ligne le sont.[*]Pièces jointes : De nombreuses techniques de phishing consistent à vous demander d’ouvrir des pièces jointes, qui peuvent infecter votre ordinateur avec un virus ou un logiciel espion. Si un logiciel espion est téléchargé sur votre ordinateur, il peut enregistrer les touches que vous utilisez pour vous connecter à vos comptes personnels en ligne. Enregistrez les pièces jointes, puis analysez-les avec un programme antivirus à jour avant de les ouvrir. Pour vous aider à protéger votre ordinateur, Outlook bloque automatiquement certains types de fichiers joints susceptibles de contaminer l’ordinateur. Si Outlook détecte un message suspect, les pièces jointes de tout type sont bloquées.[*]Liens fictifs ou suspects : Les auteurs de messages de phishing sont habiles pour créer des liens trompeurs, et une personne inexpérimentée n’a aucun moyen de savoir si ces liens sont légitimes. Il est vivement recommandé de taper l’adresse web dont vous êtes sûr dans le navigateur. Vous pouvez également enregistrer les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.