微軟獲法院許可接管網域 杜絕北韓駭客攻擊

美國科技巨擘微軟（Microsoft）表示，北韓駭客團體鉈（Thallium）透過50個網域，冒用微軟品牌與商標追蹤線上使用者，針對政府職員、研究人員與維權人士發動網路攻擊。微軟已取得聯邦法院命令可以接管這些網域，杜絕類似的攻擊事件再次發生。

《法新社》報導，微軟客戶安全與信任部門副總裁柏特（Tom Burt）指出，「駭客會利用這些網域對受害者發動攻擊，入侵他們的線上帳戶，讓他們的電腦中毒，損害他們網路的安全並竊取敏感資訊。受害者包括政府職員、智庫、大學教職人員、專門從事世界和平與人權活動的組織，以及研究核擴散議題的個人。他們大多數位於美國、日本與南韓。」

微軟一直在調查Thallium，柏特表示，「Thallium通常從社群媒體、個人參與的組織、公職人員目錄及其他公開來源蒐集資訊，為受害者寫出個人化的魚叉式釣魚電郵，取信於目標後，再引誘受害者輸入他們的登入憑證。取得憑證後，駭客就可以取得電郵、聯絡人名單、行事曆安排計畫等資料。此外，駭客也會使用惡意軟體，取得受害者電腦的其他數據。」

幸好，美國維吉尼亞州聯邦法院發出的命令讓微軟得以接管這些網域，代表這些網站不再能用來發動攻擊。這也是微軟繼中國的鋇（Barium）、俄羅斯的鍶（Strontium）與伊朗的磷（Phosphorus）後，出手反制的第4個與國家有關的駭客團體。

北韓駭客攻擊維權人士 微軟獲法院許可接管網域

美國科技巨擘微軟公司（Microsoft Corp.）今天表示，公司取得法院命令，可以接管北韓駭客團體使用的網域，對方利用這些網域對維權人士與研究人員等發動網路攻擊。

法新社報導，微軟表示，聯邦法院讓微軟接管駭客團體鉈（Thallium）使用的50個網域。Thallium冒用微軟品牌與商標追蹤線上使用者。

微軟客戶安全與信任部門副總裁柏特（Tom Burt）說：「這個網路是用來針對受害者發動攻擊，入侵他們的線上帳戶，讓他們的電腦中毒，損害他們網路的安全性並竊取敏感資訊。」

「根據受害者提供的資訊，遭鎖定為目標的包括政府職員、智庫、大學教職人員、專門從事世界和平與人權活動的組織，以及研究核擴散議題的個人。大多數的目標位於美國，還有日本與南韓。」

微軟一直透過數位犯罪防治單位（Digital CrimesUnit）與威脅情報中心（Threat Intelligence Center）調查Thallium，稱這個駭客團體發送看似由微軟寄出的詐騙電子郵件，引誘使用者透露他們的登入憑證，這種手法稱為魚叉式網路釣魚。

柏特說：「Thallium從社群媒體與個人參與的組織公職人員目錄及其他公開來源蒐集資訊，寫出個人化的魚叉式釣魚電郵，讓攻擊目標認為這封電郵可信。」

取得受害者憑證後，駭客可以取得電郵、聯絡人名單、行事曆安排計畫等資料，且經常把新電郵轉寄給攻擊者。駭客也會使用惡意軟體，取得受害者電腦的其他數據。

柏特說，美國維吉尼亞州聯邦法院發出的命令，讓微軟得以接管這些網域，代表「這些網站不再能用來發動攻擊」。

微軟表示，這是微軟出手反制的第4個與國家有關的團體，跟對付中國的鋇（Barium）、俄羅斯的鍶（Strontium）與伊朗的磷（Phosphorus）的行動一樣，都採取類似的因應措施。

微軟破獲北韓駭客組織網路，為其第4例

微軟本周宣佈破獲北韓駭客組織Thallium，接管了其50個網域，也是它繼中國、俄羅斯和伊朗行動以來第4個成功案例。

Thallium是活動許久的北韓駭客，它建立了網站、網域和連網電腦網路，用於對用戶發動攻擊、感染電腦。他們攻擊對象包括政府部門員工、智庫、大學職員、人權組織成員、或是和核分裂技術有關的人員，主要位於美國、日本和南韓。

Thallium攻擊手法主要包括精準網釣和植入惡意程式。首先他們會利用在社群網站、公開網站上蒐集資料發送精準釣魚郵件，以誘使用戶連到假網站輸入帳密，並利用這些帳密登入用戶郵件或入口網站，存取郵件、行事曆，並在郵件設定轉送規則，之後就能掌握受害者的信件及工作通訊內容。其次他們也會在受害者電腦植入惡意軟體，像是BabyShark或KimJongRAT以竊取資料。

這項行動在12月27日美國法院解密文件後得以公開。微軟在獲得維吉尼亞州地方法院下令允許行動，成功接管50個Thallium控制的網域。在此之前，微軟還分別破獲中國的Barium、俄羅的Strontium及伊朗的Phosphorus組織，一共接管了數百個網域。伊朗、北韓與俄羅斯也是微軟認為國家級駭客最猖獗的地區。

依據Thallium攻擊手法的研究，微軟建議用戶所有公司和私人帳號都啟用雙因素驗證，小心不要點入來路不明的網站和檔案連結，同時留意郵件是否被設了轉送的規則。