图片来源:视觉中国
据证实,微软数字犯罪部门一直在追踪针对Windows用户的黑客活动。与最近Windows用户面临的涉及零日漏洞的威胁不同,这次的威胁更加个人化。
与微软威胁情报中心一起,数字犯罪部门一直在监视一个高级持续性威胁黑客组织,他们操作着一个庞大的犯罪网络,来入侵账户和窃取数据。
谁是微软Windows攻击的幕后黑手?
这些网络攻击背后的威胁组织据信位于朝鲜,被微软命名为“Thallium”,也被称为APT37。这个黑客组织的目标似乎是政府雇员、大学工作人员、从事核扩散工作的人,以及从事世界和平和人权工作的人。这些被攻击的目标大多位于美国,但微软证实,日本和韩国的个人也发现自己成了黑客攻击的目标。
微软负责客户安全与信任的副总裁汤姆•伯特在12月30日的帖子中证实了这些攻击。伯特说: “12月27日,美国一家地方法院公布了一份文件,其中详细说明了微软为阻止一个我们称之为‘Thallium’的威胁组织发起的网络攻击所做的工作。‘Thallium’除了针对用户的身份信息外,还利用恶意软件入侵系统并窃取数据。”一旦该恶意软件(已知包括BabyShark和KimJongRAT)被成功安装到一台受感染的Windows电脑上,它就会窃取数据。然而,它也采用了一种持久的攻击策略,在后台耐心等待黑客组织的进一步指示。
微软将国家资助的黑客组织告上法庭
微软成功获得的法院命令,使该公司能够控制APT37正在使用的与他们正在进行的网络攻击操作相关的总共50个互联网域名。伯特说: “有了这个行动,这些网站就不能再被用来实施攻击了。”
这是因为,像许多据称是国家支持的APT黑客组织一样,“Thallium”使用了所谓的鱼叉式钓鱼方法来发起攻击。与散布给成千上万人、希望少数人上钩的散弹式网络钓鱼邮件不同,鱼叉式网络钓鱼针对的是组织内的特定个人。这些人已经被攻击者利用社交媒体、公司目录以及其他开源情报数据“确定了攻击范围”,以便能够针对相关目标定制每条网络钓鱼信息。
鱼叉式网络钓鱼的解释
“Thallium”能够制作个性化的鱼叉式网络钓鱼邮件,在某种程度上给目标以电子邮件可信度,”伯特说, “这些内容的设计看起来是合法的,但仔细审查后发现,“Thallium”把字母r和n组合在一起,看起来就像microsoft.com中的第一个字母m,从而欺骗了发送者。” 因此,微软采取了法律行动,能够拿下这些被攻击者使用的域名。
面对组织严密、政府支持的攻击组织,微软已经不是第一次诉诸强有力的法律反击了。事实上,伯特证实,针对“Thallium”的行动是它以这种方式针对的第四个此类群体。伯特说: “之前的中断针对的是来自中国的Barium、来自俄罗斯的Strontium和来自伊朗的Phosphorus。”通过这种方式拿下数百个域名,微软可以让Windows生态系统对每个人都更加安全。
处理国家支持的黑客攻击
然而,伯特也承认还有更多的工作要做。“我们认为它是至关重要的, 政府和私营部门对民族国家活动越来越透明,所以我们要继续保护互联网的全球对话,” 伯特说, “我们也希望发布这些信息有助于提高组织和个人的意识,他们可以采取措施来保护自己。”
Windows用户如何保护自己免受攻击?
谈到这一点,Windows用户应该采取的缓解措施包括在所有电子邮件账户上启用双因素身份验证,企业和个人都是如此。密切关注你的邮件转发规则,也可以发现任何可能已经通过你的防御系统的攻击者,将所有邮件的副本发送给他们。微软为Office 365的用户提供了一个优秀的网络钓鱼意识指南。你可能还想读我的教程,如何通过八个简单的步骤保护微软Windows。
Davey Winder为福布斯撰稿人,表达观点仅代表个人。译 Stephen 校 李永强
- END -
