Microsoft a pris le contrôle de 50 domaines qui étaient utilisés par le groupe de hacker Thallium.
Opérant depuis la Corée du Nord, il ciblait entre autres des employés de gouvernement

Microsoft Corp a déclaré lundi avoir pris le contrôle de domaines Web utilisés par un groupe de piratage appelé «Thallium» pour voler des informations. Thallium est censé opérer depuis la Corée du Nord, a déclaré Microsoft dans un article de blog, et les pirates ont ciblé des employés du gouvernement, des groupes de réflexion, des membres du personnel universitaire et des personnes travaillant sur des questions de prolifération nucléaire, entre autres. La plupart des cibles étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud, a indiqué la société.

Thallium a trompé les victimes grâce à une technique connue sous le nom de «spear phishing», utilisant des e-mails d'aspect crédible qui semblent légitimes à première vue. Microsoft a déclaré qu'il contrôlait désormais 50 domaines Web utilisés par le groupe pour mener ses opérations, à la suite d'une plainte déposée contre le groupe de piratage auprès du tribunal de district américain pour le district oriental de Virginie, et d'une ordonnance judiciaire ultérieure.

Thallium a également utilisé des logiciels malveillants pour compromettre les systèmes et voler des données, et est le quatrième groupe d'État contre lequel Microsoft a intenté une action en justice, a déclaré la société.

« Le 27 décembre, un tribunal de district américain a dévoilé des documents détaillant le travail effectué par Microsoft pour perturber les cyberattaques d'un groupe de menaces que nous appelons Thallium, qui opérerait depuis la Corée du Nord. Notre procès contre Thallium, déposé auprès du tribunal de district américain du district oriental de Virginie, a abouti à une décision de justice permettant à Microsoft de prendre le contrôle de 50 domaines que le groupe utilise pour mener ses opérations. Avec cette action, les sites ne peuvent plus être utilisés pour exécuter des attaques.

« L'unité Digital Crimes Unit (DCU) de Microsoft et le Microsoft Threat Intelligence Center (MSTIC) ont suivi et collecté des informations sur Thallium, surveillant les activités du groupe pour établir et exploiter un réseau de sites Web, de domaines et d'ordinateurs connectés à Internet. Ce réseau a été utilisé pour cibler les victimes, puis compromettre leurs comptes en ligne, infecter leurs ordinateurs, compromettre la sécurité de leurs réseaux et voler des informations sensibles. Sur la base des informations sur les victimes, les cibles étaient les employés du gouvernement, les groupes de réflexion, les membres du personnel universitaire, les membres d'organisations axées sur la paix dans le monde et les droits de l'homme, et les individus qui travaillent sur les questions de prolifération nucléaire. La plupart des cibles étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud.

« Comme beaucoup de cybercriminels et d'acteurs de menaces, Thallium tente généralement de piéger les victimes grâce à une technique connue sous le nom de spear phishing. En collectant des informations sur les individus ciblés à partir des médias sociaux, des répertoires du personnel public des organisations avec lesquelles l'individu est impliqué et d'autres sources publiques, Thallium est en mesure de créer un e-mail de spear-phishing personnalisé de manière à lui donner de la crédibilité. Comme le montre l'exemple d'e-mail de spear-phishing ci-dessous, le contenu est conçu pour sembler légitime, mais un examen plus approfondi montre que Thallium a usurpé l'expéditeur en combinant les lettres "r" et "n" pour qu'elle s'affiche comme la première lettre "m" dans "microsoft.com".


« Le lien dans l'e-mail redirige l'utilisateur vers un site Web demandant les informations d'identification du compte de l'utilisateur. En incitant les victimes à cliquer sur les liens frauduleux et à fournir leurs informations d'identification, Thallium est alors en mesure de se connecter au compte de la victime. En cas de compromission réussie d'un compte victime, Thallium peut consulter les e-mails, les listes de contacts, les rendez-vous du calendrier et tout autre élément intéressant le compte compromis. Thallium crée également souvent une nouvelle règle de transfert de courrier dans les paramètres du compte de la victime. Cette règle de transfert de courrier transfère tous les nouveaux e-mails reçus par la victime vers des comptes contrôlés par Thallium. En utilisant les règles de transfert, Thallium peut continuer à voir les e-mails reçus par la victime, même après la mise à jour du mot de passe de son compte.

« En plus de cibler les informations d'identification des utilisateurs, Thallium utilise également des logiciels malveillants pour compromettre les systèmes et voler des données. Une fois installé sur l'ordinateur d'une victime, ce malware en exfiltre les informations, maintient une présence persistante et attend des instructions supplémentaires. Les acteurs de la menace Thallium ont utilisé des logiciels malveillants connus nommés "BabyShark" et "KimJongRAT".

« Il s'agit du quatrième groupe d'activités de l'État-nation contre lequel Microsoft a déposé des actions en justice similaires pour supprimer l'infrastructure de domaine malveillante. Les perturbations précédentes ont ciblé Barium, opérant depuis la Chine, Strontium, opérant depuis la Russie, et Phosphorus, opérant depuis l'Iran. Ces actions ont entraîné le retrait de centaines de domaines, la protection de milliers de victimes et amélioré la sécurité de l'écosystème.

« Comme nous l'avons dit dans le passé, nous pensons qu'il est important de partager une activité de menace importante comme celle que nous annonçons aujourd'hui. Nous pensons qu'il est essentiel que les gouvernements et le secteur privé soient de plus en plus transparents sur l'activité des États-nations afin que nous puissions tous poursuivre le dialogue mondial sur la protection d'Internet. Nous espérons également que la publication de ces informations contribuera à sensibiliser les organisations et les individus aux mesures à prendre pour se protéger ».

Comment se protéger ?

Pour se protéger contre ce type de menaces, Microsoft suggère aux utilisateurs d'activer l'authentification à deux facteurs sur tous les comptes de messagerie professionnels et personnels.

Pensez également à activer les alertes de sécurité sur les liens et les fichiers provenant de sites Web suspects et vérifiez soigneusement vos règles de transfert de courrier électronique pour toute activité suspecte. Pour activer ou désactiver les alertes de sécurité menant à des sites web suspects :
  1. Dans un programme Office, cliquez sur l’onglet Fichier.
  2. Cliquez sur Options.
  3. Cliquez sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
  4. Cliquez sur Options de confidentialité.
  5. Sous Options de confidentialité, activez ou désactivez la case à cocher Vérifier que les documents Microsoft Office n’ont pas subi de tentatives d’usurpation d’identité au niveau des noms de domaines internationaux.
  6. Cliquez sur OK.

L’image suivante est un exemple de la zone Options de confidentialité du Centre de gestion de la confidentialité.


Il est également conseillé d'apprendre à se protéger contre les techniques de phishing et d’autres formes de fraude en ligne. Si un avertissement relatif au phishing apparaît, une tentative de phishing est probablement en cours. Cela peut se produire de plusieurs façons décrites ci-après. Microsoft utilise des algorithmes, des systèmes de notation et l’apprentissage automatique pour détecter les signaux et vous informer en cas de tentative potentielle de phishing.

Il y a vraisemblablement tentative de fraude lorsque vous êtes invité à :
  • fournir des informations personnelles à une source inconnue ;
  • vérifier les informations de votre compte pour empêcher la suspension de ce dernier ;
  • vendre un article avec une promesse de rétribution bien supérieure à la valeur de l’article ;
  • effectuer des dons d’argent en direct.

Malheureusement, dans la mesure où les attaques par phishing sont de plus en plus sophistiquées, il est très difficile pour une personne non expérimentée de savoir si un courrier électronique ou un site web est frauduleux. Les techniques de phishing sont aussi nombreuses qu’efficaces. Ainsi, de nombreux courriers électroniques et sites web falsifiés incluent des liens vers des logos de marques connues, ce qui leur assure par conséquent une légitimité. Voici plusieurs conseils pour vous protéger :
  • Demandes d’informations personnelles par courrier électronique : La plupart des sociétés légitimes ne vous demandent pas d’informations personnelles par courrier électronique. Soyez très vigilant si vous recevez un courrier vous demandant des informations personnelles, même s’il a l’air légitime.
  • Formulation urgente :La formulation des messages électroniques de phishing est généralement polie et agréable. Elle tente généralement de vous faire répondre au message ou de faire cliquer sur le lien inclus dans le message. Pour augmenter le nombre de réponses, l’auteur du message tente de lui conférer un caractère urgent afin que vous répondiez rapidement, sans trop réfléchir. Généralement, les messages électroniques usurpant une identité ne sont pas personnalisés, alors que ceux provenant de votre banque ou d’une société de commerce en ligne le sont.
  • Pièces jointes : De nombreuses techniques de phishing consistent à vous demander d’ouvrir des pièces jointes, qui peuvent infecter votre ordinateur avec un virus ou un logiciel espion. Si un logiciel espion est téléchargé sur votre ordinateur, il peut enregistrer les touches que vous utilisez pour vous connecter à vos comptes personnels en ligne. Enregistrez les pièces jointes, puis analysez-les avec un programme antivirus à jour avant de les ouvrir. Pour vous aider à protéger votre ordinateur, Outlook bloque automatiquement certains types de fichiers joints susceptibles de contaminer l’ordinateur. Si Outlook détecte un message suspect, les pièces jointes de tout type sont bloquées.
  • Liens fictifs ou suspects : Les auteurs de messages de phishing sont habiles pour créer des liens trompeurs, et une personne inexpérimentée n’a aucun moyen de savoir si ces liens sont légitimes. Il est vivement recommandé de taper l’adresse web dont vous êtes sûr dans le navigateur. Vous pouvez également enregistrer les adresses web fiables dans les Favoris de votre navigateur. Évitez de copier et coller des adresses web provenant de messages dans votre navigateur. Des alertes de sécurité s’affichent dans les situations suivantes :
    • Vous avez ouvert un document et vous cliquez sur un lien menant à un site web dont l’adresse contient un nom de domaine susceptible d’avoir été usurpé.
    • Vous ouvrez un fichier à partir d’un site web dont l’adresse contient un nom de domaine susceptible d’avoir été usurpé. Un avis de sécurité s’affiche. Lisez l’avis et effectuez les sélections de votre choix.
    • Vous pouvez ensuite choisir de visiter ou non le site web. Dans ce cas, nous vous recommandons de cliquer sur Non dans l’avis de sécurité. Cette fonctionnalité vise à vous protéger contre les attaques par homographes.
    • Si le filtre de courrier indésirable considère un courrier non comme un courrier indésirable, mais comme un cas de phishing, le courrier reste dans la Boîte de réception, mais les liens qu’il contient sont désactivés, de même que les fonctionnalités Répondre et Répondre à tous.
    • Si le filtre de courrier indésirable considère que le message est à la fois un courrier indésirable et un cas de phishing, le message est automatiquement envoyé dans le dossier Courrier indésirable. Les messages envoyés dans le dossier Courrier indésirable sont convertis au format texte brut et tous les liens sont désactivés. Les fonctionnalités Répondre et Répondre à tous sont également désactivées. La barre d’informations vous avertit de ce changement.
    • Si vous cliquez sur un lien qui a été désactivé dans un message de phishing, une boîte de dialogue Sécurité Outlook s’affiche. Effectuez la sélection de votre choix.

  • Masques de lien : Même si le lien sur lequel vous êtes incité à cliquer peut contenir, en partie ou en totalité, le nom d’une société réelle, le lien peut être « masqué ». En d’autres termes, le lien affiché ne vous mène pas vers cette adresse, mais vers une autre adresse, généralement un site web usurpant une identité. Si vous positionnez le pointeur sur le lien dans un message Outlook, une autre adresse Internet s’affiche. Ceci doit suffire à vous alerter. N’oubliez pas que même le lien dans le champ sur fond jaune peut être imité pour ressembler à une adresse web légitime.
  • Homographes : Un homographe est un mot qui s’écrit de la même façon qu’un autre mot, mais qui n’a pas la même signification. En informatique, une attaque par homographe correspond à une adresse web qui ressemble à une adresse web connue, mais qui a en fait été modifiée. L’objectif des liens web factices utilisés par les techniques de phishing est de vous inciter à cliquer sur le lien.

Source : Microsoft

Et vous ?

Que pensez-vous de ces conseils ?
Disposez-vous d'une politique interne (au bureau) ou personnelle pour vous protéger face à des attaques par hameçonnage ? Comment procédez-vous ?

Voir aussi :

Un utilisateur des caméras de sécurité Ring porte plainte en recours collectif contre Amazon, après qu'un hacker y a accédé pour voir et parler à ses enfants mineurs
Des hackers volent des données médicales de 15 millions de patients, puis les revendent au laboratoire qui les détenait
Le Département de la justice des Etats-Unis offre jusqu'à 5 millions de dollars pour trouver deux hackers russes à la tête d'une organisation qui serait liée aux services de renseignement du Kremlin
Un hacker publie 2 térabits de données confidentielles de la Banque Nationale des îles Caïmans soupçonnée de blanchiment d'argent