Avec l’aval de la justice américaine, les équipes de Microsoft ont fermé pas moins de cinquante noms de domaine exploités par un groupe de hackers nord-coréen répondant au nom de Thallium. Cette intervention menée contre des équipes sponsorisées par un État constitue la quatrième du genre pour la firme de Redmond.

Dans le viseur de Microsoft depuis de longs mois déjà, le groupe de hackers Thallium, soutenu par l’administration Kim Jong-un, a été frappé de plein fouet par les équipes de la multinationale. Les divisions Digital Crimes Unit et Microsoft Threat Intelligence Center (MSTIC) ont en effet surveillé leurs activités et collecté une quantité suffisante d’informations pour établir un lien entre ledit groupe et un nombre conséquent de cyberattaques.

C’est pourquoi le tribunal du district oriental de Virginie a autorisé la firme de Redmond à neutraliser cinquante noms de domaine leur appartenant. Ces derniers ont en effet été utilisés pour mener à bien des attaques de spear pishing (qui cible une personne spécifique via l’envoi de mails personnalisés) contre des employés de gouvernements, universitaires, membres de think tanks, défenseurs des droits de l’homme et individus issus du nucléaire. Des victimes stratégiques, donc.

L’art de la tromperie visuelle

Les attaquants ont concocté un processus d’attaque rodé et efficace pour piéger leurs cibles généralement originaires des États-Unis, du Japon et de Corée de Sud. En premier lieu était rassemblé le maximum d’informations sur la personne visée au travers des réseaux sociaux et autres sources publiques. Les hackers créaient alors un mail frauduleux de toute pièce aux apparences totalement légitimes.

Exemple de mail frauduleux envoyé par Thallium. // Crédit photo : Microsoft.

Poussée à son paroxysme, la tromperie jouait même sur l’adresse email du destinataire. Comme le montre le groupe américain dans un billet de blog, la lettre « m » de Microsoft était remplacée par « rn » (r et n, voir sur la photo ci-dessus). L’association de ces deux lettres forme alors un faux « m » presque invisible au premier regard. La victime était ensuite invitée à cliquer sur un lien malveillant lui demandant de rentrer ses informations d’identification de compte.

Efficace sur le long terme

Une fois l’entourloupe achevée avec succès, les hackers détenaient un accès complet aux contacts, à l’historique et au calendrier de l’individu berné. Pis : tous les nouveaux mails reçus pas ce dernier se transférait automatiquement vers des comptes contrôlés par Thallium. Un moyen pour eux de continuer à recevoir les messages électroniques même en cas de mot de passe modifié.

Thallium a également été à l’origine de cyberattaques visant à compromettre des systèmes et voler des données au travers de deux logiciels malveillants répondant de BabyShark et KimJongRAT. Ici, Microsoft n’en est pas à son premier coup d’essai, puisque trois autres groupes liés à des Etats ont déjà subi le courroux du géant de l’informatique, à l’image de Barium (Chine), Strontium (Russie) et Phosphorus (Iran).

Crédit photo de la une : ClearCutMediaPro via Pixabay.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux