微軟強力反擊，證實Windows黑客攻擊

圖片來源：視覺中國

據證實，微軟數字犯罪部門一直在追蹤針對Windows用戶的黑客活動。與最近Windows用戶麵臨的涉及零日漏洞的威脅不同，這次的威脅更加個人化。

與微軟威脅情報中心一起，數字犯罪部門一直在監視一個高級持續性威脅黑客組織，他們操作著一個龐大的犯罪網絡，來入侵賬戶和竊取數據。

誰是微軟Windows攻擊的幕後黑手?

這些網絡攻擊背後的威脅組織據信位於朝鮮，被微軟命名為“Thallium”，也被稱為APT37。這個黑客組織的目標似乎是政府雇員、大學工作人員、從事核擴散工作的人，以及從事世界和平和人權工作的人。這些被攻擊的目標大多位於美國，但微軟證實，日本和韓國的個人也發現自己成了黑客攻擊的目標。

微軟負責客戶安全與信任的副總裁湯姆•伯特在12月30日的帖子中證實了這些攻擊。伯特說: “12月27日，美國一家地方法院公布了一份文件，其中詳細說明了微軟為阻止一個我們稱之為‘Thallium’的威脅組織發起的網絡攻擊所做的工作。‘Thallium’除了針對用戶的身份信息外，還利用惡意軟件入侵係統並竊取數據。”一旦該惡意軟件(已知包括BabyShark和KimJongRAT)被成功安裝到一台受感染的Windows電腦上，它就會竊取數據。然而，它也采用了一種持久的攻擊策略，在後台耐心等待黑客組織的進一步指示。

微軟將國家資助的黑客組織告上法庭

微軟成功獲得的法院命令，使該公司能夠控製APT37正在使用的與他們正在進行的網絡攻擊操作相關的總共50個互聯網域名。伯特說: “有了這個行動，這些網站就不能再被用來實施攻擊了。”

這是因為，像許多據稱是國家支持的APT黑客組織一樣，“Thallium”使用了所謂的魚叉式釣魚方法來發起攻擊。與散布給成千上萬人、希望少數人上鉤的散彈式網絡釣魚郵件不同，魚叉式網絡釣魚針對的是組織內的特定個人。這些人已經被攻擊者利用社交媒體、公司目錄以及其他開源情報數據“確定了攻擊範圍”，以便能夠針對相關目標定製每條網絡釣魚信息。

魚叉式網絡釣魚的解釋

“Thallium”能夠製作個性化的魚叉式網絡釣魚郵件，在某種程度上給目標以電子郵件可信度，”伯特說, “這些內容的設計看起來是合法的，但仔細審查後發現，“Thallium”把字母r和n組合在一起，看起來就像microsoft.com中的第一個字母m，從而欺騙了發送者。” 因此，微軟采取了法律行動，能夠拿下這些被攻擊者使用的域名。

麵對組織嚴密、政府支持的攻擊組織，微軟已經不是第一次訴諸強有力的法律反擊了。事實上，伯特證實，針對“Thallium”的行動是它以這種方式針對的第四個此類群體。伯特說: “之前的中斷針對的是來自中國的Barium、來自俄羅斯的Strontium和來自伊朗的Phosphorus。”通過這種方式拿下數百個域名，微軟可以讓Windows生態係統對每個人都更加安全。

處理國家支持的黑客攻擊

然而，伯特也承認還有更多的工作要做。“我們認為它是至關重要的, 政府和私營部門對民族國家活動越來越透明，所以我們要繼續保護互聯網的全球對話,” 伯特說, “我們也希望發布這些信息有助於提高組織和個人的意識，他們可以采取措施來保護自己。”

Windows用戶如何保護自己免受攻擊?

談到這一點，Windows用戶應該采取的緩解措施包括在所有電子郵件賬戶上啟用雙因素身份驗證，企業和個人都是如此。密切關注你的郵件轉發規則，也可以發現任何可能已經通過你的防禦係統的攻擊者，將所有郵件的副本發送給他們。微軟為Office 365的用戶提供了一個優秀的網絡釣魚意識指南。你可能還想讀我的教程，如何通過八個簡單的步驟保護微軟Windows。

Davey Winder為福布斯撰稿人，表達觀點僅代表個人。譯 Stephen 校 李永強

- END -