Empresa derrubou 50 endereços que foram usados para atacar ativistas e servidores públicos. A Microsoft acionou a Justiça nos Estados Unidos para derrubar a infraestrutura de sistemas usados por um grupo de hackers que os especialistas associam à Coreia do Norte.
De acordo com a empresa, o grupo, chamado de Thallium, teria tentado roubar contas de usuários de serviços da Microsoft e informações pessoais dos dispositivos das vítimas.
A ação foi movida no dia 18 de dezembro e conseguiu derrubar 50 domínios (endereços de internet) usados pelo grupo para realizar e coordenar os ataques.
Embora a Microsoft não tenha identificado os hackers, a ação atinge os provedores de serviços de internet que foram usados pelo grupo, obrigando-os a derrubar os sistemas ou entregar informações que podem ajudar na investigação dos ataques.
Exemplo de e-mail falso enviado pelos hackers: mensagem utilizou as letras ‘rn’ no lugar de ‘m’ para simular o nome ‘Microsoft’
Microsoft/Reprodução
As vítimas do grupo incluem servidores públicos, “think tanks”, funcionários de universidades, membros de entidades de defesa da paz mundial e direitos humanos e indivíduos que atuam no tema de proliferação nuclear.
A maioria dos alvos identificados estava nos Estados Unidos, mas algumas vítimas também eram japonesas e sul-coreanas.
Para chegar às vítimas, os hackers enviavam e-mails elaborados com temas de interesse dos destinatários ou personalizados com informações retiradas de perfis em redes sociais.
Os links nas mensagens direcionavam as vítimas para páginas clonadas ou para o download de programas espiões chamados de “BabyShark” e “KimJongRAT”.
Esta é a quarta vez que a Microsoft procura os tribunais para desmantelar ações de hackers que teriam patrocínio governamental. Nos casos anteriores, a Microsoft derrubou sistemas dos grupos Barium, da China, Strontium, da Rússia e Phosphorus, do Irã.
Outras operações
A Microsoft designa os grupos de hackers usando elementos químicos (bário, estrôncio, fósforo e tálio). Esses nomes não são usados por especialistas de outras organizações.
No caso do Thallium (tálio), o uso dos vírus “BabyShark” e “KimJongRAT” sugere que este grupo esteja vinculado a uma operação que outras empresas chamam de “Stolen Pencil”. O Stolen Pencil foi responsável por um ataque contra acadêmicos usando extensões do Chrome.
Outro grupo que especialistas associam à Coreia do Norte é o Lazarus. Esse grupo teria atacado a Sony Pictures em 2014 e desviado bilhões de dólares de instituições financeiras em vários países.
A Coreia do Norte, como todos os países identificados por especialistas em ataques cibernéticos, nega que esteja envolvida nesse tipo de ação.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Comentar