Microsoft révèle avoir obtenu l'autorisation de la justice américaine pour la prise de contrôle de 50 noms de domaine exploités par un groupe dénommé Thallium afin de mener des cyberattaques. " Avec cette action, les sites ne peuvent plus être utilisés pour exécuter des attaques ", déclare Tom Burt, vice-président de Microsoft pour la sécurité des consommateurs.
Thallium aurait utilisé un tel réseau de sites web, domaines et machines connectées pour cibler des victimes et compromettre des comptes en ligne, infecter des ordinateurs avec un malware (comme un Remote Access Trojan), dérober des données sensibles.
Parmi les cibles, Microsoft cite des employés du gouvernement, membres de think tanks et d'universités, d'organisations pour les droits de l'homme ou encore des personnes travaillant sur les questions de prolifération nucléaire.
La plupart des victimes étaient basées aux États-Unis, ainsi qu'au Japon et en Corée du Sud. Les domaines étaient utilisés pour l'envoi d'emails de phishing (spear phishing ; phishing ciblé ou harponnage) et pour héberger des pages de phishing. Microsoft donne un exemple d'email de phishing ci-dessous :
Selon Microsoft, Thallium est un groupe de cyberespionnage ou cybercrime soutenu par un État. En l'occurrence, la Corée du Nord. Ce n'est pas la première fois que de telles allégations sont formulées. Thallium ne serait toutefois pas le célèbre groupe Lazarus, mais APT37 ou Reaper qui avait déjà été identifié par FireEye.
Ce n'est pas la première fois que Microsoft procède à ce type d'action avec la saisie de noms de domaine via le mandat d'une cour de justice. Cela a déjà été le cas dans le cadre d'opérations pour le groupe russe Strontium, alias Fancy Bear ou APT28, ainsi que Phosphorus (APT35) lié à l'Iran et Barium pour la Chine (moins connu).
