Avec l’aval de la justice américaine, les équipes de Microsoft ont fermé pas moins de cinquante noms de domaine exploités par un groupe de hackers nord-coréen répondant au nom de Thallium. Cette intervention menée contre des équipes sponsorisées par un État constitue la quatrième du genre pour la firme de Redmond.

Dans le viseur de Microsoft depuis de longs mois déjà, le groupe de hackers Thallium, soutenu par l’administration Kim Jong-un, a été frappé de plein fouet par les équipes de la multinationale. Les divisions Digital Crimes Unit et Microsoft Threat Intelligence Center (MSTIC) ont en effet surveillé leurs activités et collecté une quantité suffisante d’informations pour établir un lien entre ledit groupe et un nombre conséquent de cyberattaques.

C’est pourquoi le tribunal du district oriental de Virginie a autorisé la firme de Redmond à neutraliser cinquante noms de domaine leur appartenant. Ces derniers ont en effet été utilisés pour mener à bien des attaques de spear pishing (qui cible une personne spécifique via l’envoi de mails personnalisés) contre des employés de gouvernements, universitaires, membres de think tanks, défenseurs des droits de l’homme et individus issus du nucléaire. Des victimes stratégiques, donc.

L’art de la tromperie visuelle

Les attaquants ont concocté un processus d’attaque rodé et efficace pour piéger leurs cibles généralement originaires des États-Unis, du Japon et de Corée de Sud. En premier lieu était rassemblé le maximum d’informations sur la personne visée au travers des réseaux sociaux et autres sources publiques. Les hackers créaient alors un mail frauduleux de toute pièce aux apparences totalement légitimes.

Image d'erreur

Exemple de mail frauduleux envoyé par Thallium. // Crédit photo : Microsoft.

Poussée à son paroxysme, la tromperie jouait même sur l’adresse email du destinataire. Comme le montre le groupe américain dans un billet de blog, la lettre « m » de Microsoft était remplacée par « rn » (r et n, voir sur la photo ci-dessus). L’association de ces deux lettres forme alors un faux « m » presque invisible au premier regard. La victime était ensuite invitée à cliquer sur un lien malveillant lui demandant de rentrer ses informations d’identification de compte.

Efficace sur le long terme

Une fois l’entourloupe achevée avec succès, les hackers détenaient un accès complet aux contacts, à l’historique et au calendrier de l’individu berné. Pis : tous les nouveaux mails reçus pas ce dernier se transférait automatiquement vers des comptes contrôlés par Thallium. Un moyen pour eux de continuer à recevoir les messages électroniques même en cas de mot de passe modifié.

Thallium a également été à l’origine de cyberattaques visant à compromettre des systèmes et voler des données au travers de deux logiciels malveillants répondant de BabyShark et KimJongRAT. Ici, Microsoft n’en est pas à son premier coup d’essai, puisque trois autres groupes liés à des Etats ont déjà subi le courroux du géant de l’informatique, à l’image de Barium (Chine), Strontium (Russie) et Phosphorus (Iran).

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !