Deux entités spécialisées dans la sécurité chez Microsoft ont fait appel à la justice pour reprendre la main sur 50 domaines utilisés par des pirates Nord-Coréens pour des attaques d’hameçonnages ciblées.
Selon un récent rapport confidentiel de l’ONU, la Corée du nord aurait engrangé 2 milliards de dollars par des attaques assez sophistiquées de phishing et d’extorsion de fonds dans des institutions financières et des plates-formes de crypto-monnaie. Ces sommes serviraient ensuite à financer les programmes nucléaires et balistiques de la RPDC (République Populaire et Démocratique de la Corée du Nord). Ce rapport suit une enquête sur 35 attaques déclarées visant 17 pays.
Derrière Thallium la Corée du nord ?
Deux entités de Microsoft dédiées à la sécurité ont fait avancer les choses en reprenant 50 domaines internet à un groupe, Thallium, de hackers Nord-Coréens dont on soupçonne que les activités soient financées par le gouvernement de RPDC.
A partir de ces domaines, les hackers lançaient de vastes attaques d’hameçonnage ciblées contre des personnes connues pour leur engagement contre la prolifération nucléaire, pour les droits de l’homme… A la suite de l’hameçonnage, les hackers du groupe installaient des malwares et mettaient en place des règles qui envoyaient directement les nouveaux mails de la victime vers les serveurs du groupe.
Le groupe utilisait un domaine reprenant en apparence le nom de Microsoft mais sous une orthographe trompeuse. Cette utilisation a permis à Microsoft d’agir en justice pour récupérer ces domaines. Le 18 décembre dernier, le géant de Seattle a fait une requête devant le tribunal de Virginie pour se défendre contre Thallium. Quelques jours plus tard le tribunal a accédé à la requête de Microsoft et lui a fourni une ordonnance lui permettant de récupérer les droits sur 50 domaines utilisés de façon malveillante.
Vous croyez avoir affaire avec un sous-domaine de microsoft.com ? Il n'en est rien. C'est "r nicrosoft" qui vous écrit !
Lire l'article sur