Microsoft da un gran paso hacia la seguridad, derriba 50 dominios…

Microsoft declaró hoy que derribó 50 espacios web recientemente utilizados por una reunión de hackers apoyada por el gobierno de Corea del Norte.

El creador del sistema operativo dijo que los 50 dominios fueron usados para despachar ciberataques por una reunión que la organización ha estado siguiendo como Talio.

Microsoft dijo que la Unidad de Crímenes Digitales (DCU) y los grupos del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) han estado observando el Talio por bastante tiempo, siguiendo los ejercicios de la reunión, y mapeando su marco.

El 18 de diciembre, la organización con sede en Redmond documentó una demanda contra Talio en un tribunal de Virginia. Poco después de Navidad, especialistas estadounidenses concedieron a Microsoft una petición judicial, permitiendo a la organización tecnológica asumir el control de más de 50 áreas que los programadores norcoreanos han estado utilizando como característica de sus asaltos.

Los espacios se utilizaron para enviar mensajes de phishing y alojar páginas de phishing. Los programadores de talio atraían a los explotados a estos destinos, tomaban sus acreditaciones y luego accedían a los sistemas internos, desde donde aumentaban sus asaltos mucho más.

Microsoft dijo que además de seguir las actividades hostiles del Talio, también seguía a los huéspedes contaminados.

«Dados los datos de los individuos perjudicados, los objetivos incluían a representantes del gobierno, grupos de reflexión, personal de universidades, individuos de asociaciones concentradas en la armonía mundial y los derechos humanos, y personas que trabajan en temas de expansión atómica», dijo hoy Tom Burt, Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft.

«La mayoría de los objetivos estaban situados en los EE.UU., al igual que Japón y Corea del Sur», incluyó Burt.

El ejecutivo de Microsoft dijo que en un gran número de estos asaltos, el objetivo final era contaminar a las desafortunadas víctimas con malware, como KimJongRAT y BabyShark, dos troyanos de acceso remoto (RAT).

«Una vez introducido en el PC de un individuo herido, este malware exfiltra datos de él mantiene una perseverante cercanía y se mantiene firme para obtener direcciones adicionales», dijo Burt.

Esta no es la primera vez que Microsoft utiliza una petición judicial para alterar las actividades de reuniones de hacking patrocinadas por el gobierno.

Microsoft utilizó esta metodología en múltiples ocasiones contra un grupo ruso conocido como Estroncio (APT28, Fancy Bear), derribando efectivamente 84 áreas, la última vez en agosto de 2018.

Además, utilizó una solicitud judicial para incautar 99 espacios trabajados por Phosphorus (APT35), un equipo de actividades digitales secretas conectado a Irán.

Microsoft utilizó además las peticiones de los tribunales para perturbar las actividades de Barium, una reunión de hackers apoyada por el gobierno chino, a pesar de que las ideas sobre estas actividades son algo ligeras.

Deja un comentario