Microsoft neemt 50 domeinnamen over van hackersgroep gelinkt aan Noord-Korea

Microsoft heeft vijftig domeinnamen overgenomen van hackersgroep APT37. Die wordt door beveiligingsexperts gelinkt aan Noord-Korea. De domeinen werden gebruikt om aanvallen uit te voeren op onder andere overheidsmedewerkers in Amerika, Japan en Zuid-Korea.

Microsoft heeft de groep aangeklaagd, schrijft het bedrijf in een blogpost. Daardoor kreeg Microsoft het recht de domeinnamen van de groep over te nemen. Het gaat om websites die werden gebruikt voor spearphishingcampagnes. De aanvallers verstuurden gerichte e-mails die afkomstig leken van Microsoft, waarbij bijvoorbeeld de m was veranderd in een r en een n. De malware die op die manier werd verspreid was bedoeld om informatie te stelen van de systemen. Microsoft zegt dat de slachtoffers voornamelijk ambtenaren, universiteitsmedewerkers, denktanks en mensenrechtenorganisaties waren.

De domeinen waren onderdeel van aanvalscampagnes van een groep die Microsoft Thallium noemt. Die groep wordt door andere beveiligingsexperts aangeduid als APT37, en wordt over het algemeen gelinkt naar het Noord-Koreaanse regime. De groep werd ontdekt door Microsofts Digitale Crime Unit, en het Microsoft Threat Intelligence Center. De onderzoekers zouden de groepen maanden in de gaten hebben gehouden. Microsoft-onderzoekers hebben wel vaker staatshackers betrapt. Onlangs werden groepen uit Rusland en Iran tegengehouden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 31-12-2019 14:32
32 • submitter: wildhagen

31-12-2019 • 14:32

32

Submitter: wildhagen

Lees meer

Microsoft waarschuwt voor Russische phishinggroep die 'narratief wil bepalen'
Microsoft waarschuwt voor Russische phishinggroep die 'narratief wil bepalen' Nieuws van 16 augustus 2022
Google waarschuwde in 2019 40.000 keer voor aanvallen van staatshackers
Google waarschuwde in 2019 40.000 keer voor aanvallen van staatshackers Nieuws van 27 maart 2020
Microsoft waarschuwt 44 miljoen gebruikers dat hun wachtwoorden uitgelekt zijn
Microsoft waarschuwt 44 miljoen gebruikers dat hun wachtwoorden uitgelekt zijn Nieuws van 7 december 2019
Microsoft: Russische staatshackers vielen antidopingautoriteiten aan
Microsoft: Russische staatshackers vielen antidopingautoriteiten aan Nieuws van 29 oktober 2019
Microsoft: Iraanse staatshackers vielen Amerikaanse presidentskandidaat aan
Microsoft: Iraanse staatshackers vielen Amerikaanse presidentskandidaat aan Nieuws van 4 oktober 2019
Microsoft waarschuwde bijna tienduizend klanten voor aanvallen staatshackers
Microsoft waarschuwde bijna tienduizend klanten voor aanvallen staatshackers Nieuws van 18 juli 2019
Meer producten en artikelen
Beveiliging en antivirus Microsoft Hackers Noord-korea

Reacties (32)

-Moderatie-faq
32
31
17
1
0
1
Wijzig sortering
dasiro 31 december 2019 16:24
ze staan niet bij Microsoft, maar nog bij sedo (Duits bedrijf). Het A-record verwijst gewoon naar je localhost adres:

Name TTL Until Refresh Class Type Data
rnicrosoft.com. 85604 IN A 127.0.0.1
rnicrosoft.com. 85604 IN NS ns1.sedoparking.com.
rnicrosoft.com. 85604 IN NS ns2.sedoparking.com.
rnicrosoft.com. 85604 IN SOA ns1.sedoparking.com. hostmaster.sedo.de. 2018052501 86400 10800 604800 86400
rnicrosoft.com. 2804 IN MX 0 localhost.
rnicrosoft.com. 2804 IN TXT "v=spf1 -all"

Geen idee hoe het juist gelopen is dat een lokaal district court een buitenlands bedrijf zo ver heeft gekregen, maar in Amerika gaan ze er technisch van uit dat het internet van hen is (CDC own ICANN en het merendeel van de root-servers), dus zal daar wel wat misbruik zijn geweest
DigitalExorcist @dasiro31 december 2019 17:13
Wel geestig: een mx-record naar localhost maar wél een SPF-record ;)
erikmeuk3 @DigitalExorcist31 december 2019 17:40
Die SPF is leeg, dus alles verbieden.
Darkprince1234 @dasiro31 december 2019 18:06
.com wordt beheerd door de registry Verisign een Amerikaans bedrijf en dus worden de domeinnamen overgedragen als de Amerikaanse rechter dat wil.
Zen1581 31 december 2019 14:39
Microsoft heeft de groep niet enkel aangeklaagd, zoals in het artikel beschreven, maar de rechtbank heeft ook al geoordeeld dat de domeinnamen aan Microsoft moeten worden afgedragen. Zie de volgende passage in de blogpost:
Our court case against Thallium, filed in the U.S. District Court for the Eastern District of Virginia, resulted in a court order enabling Microsoft to take control of 50 domains that the group uses to conduct its operations.
Nyarlathotep @Zen158131 december 2019 16:43
Dat staat bijna letterlijk in het artikel 8)7
Microsoft heeft de groep aangeklaagd, schrijft het bedrijf in een blogpost. Daardoor kreeg Microsoft het recht de domeinnamen van de groep over te nemen.
.
Zen1581 @Nyarlathotep31 december 2019 18:30
Het klonk naar mijn mening alsof het verkrijgen van de domeinnamen het gevolg was van enkel het aanklagen, maar dit is dus niet het geval
indexample 31 december 2019 14:45
gelukkig bestaat het top level domain .corn (CORN) nog niet ;)
DigitalExorcist @indexample31 december 2019 15:04
Nee maar rnicrosoft wel ;) (r + n = rn)
gise @DigitalExorcist31 december 2019 19:43
Daar gaat dit artikel ook over. Maar als CORN TLD ipv COM gemaakt wordt, dan kan je daar zowat elke website op namaken, Google.corn, facebook.corn, twitter.corn, etc.
TheRealProcyon @gise31 december 2019 19:48
De regel is dat TLDs die tot verwarring kunnen leiden niet worden toegestaan om te registreren.
Fransfb @indexample31 december 2019 15:03
Off topic: Childrenofthe.corn zou ik dan zeker kopen 😜
Jim80 @Fransfb31 december 2019 15:38
of pop.corn :)
Jerie 31 december 2019 16:18
Er is zoveel zwarte markt tussen Noord-Korea en China (inclusief afschuwelijkheden zoals vrouwenhandel) dat het lastig is de herkomst vast te stellen. Het zou net zo goed een Chinese APT kunnen zijn die onder de vlag van Noord-Korea opereert.
Harm_H 31 december 2019 14:45
Wat voor domeinen?
micrsoft.com of soortgelijke voor phising?
Dracozirion @Harm_H31 december 2019 14:49
Rnicrosoft.com onderandere zoals in de screenshot van de blog te zien is. Dus idd waarschijnlijk enkel gelijkaardige.
Nico Klus @Dracozirion31 december 2019 15:42
rnicrosoft.com, MICR0S0FT. COM, M1CROSOFT. COM, etc
Je kan vast zelf verder fantaseren :)
DigitalExorcist @Nico Klus31 december 2019 17:12
rnlcrosoft.com
MrMonkE 31 december 2019 14:39
rnooie actie. :+
eiateunissen 31 december 2019 14:56
Kunnen dergelijke landen niet volledig van het internet worden afgesloten, bijvoorbeeld van buiten af? De eigen inwoners hebben in de meeste gevallen toch al geen enkele toegang tot het internet.
Accretion @eiateunissen31 december 2019 15:05
Het internet is niet een stuk land met grenscontrole waar je een muur omheen kan bouwen.

Anders werken de hackers toch wel via een VPN of satellietverbinding.

Het is natuurlijk wel wat onhandig dat domeinnamen die sterk lijken op "microsoft.com" zomaar gebruikt kunnen worden.

Maar een heel land uitsluiten van het internet heeft vergaande implicaties, naast dat het technisch ook vrij moeilijk zou zijn.

Daarnaast hackt ieder land er tegenwoordig zowat op los, het lijkt echter alsof steeds een klein aantal landen de schuld krijgen of opgemerkt worden.

[Reactie gewijzigd door Accretion op 22 juli 2024 20:32]

MrMonkE @Accretion31 december 2019 16:57
Rusland heeft dit net getest.
Dus het kan wel.
Accretion @MrMonkE31 december 2019 17:03
Wat Rusland doet is zichzelf buitensluiten, niet een land buitensluiten?

Je kan toch via een Duitse (of Nederlandse) VPN verbinden met Nederland, als NL een blokkering heeft op Noord Korea.

Het is m.i. moeilijk om een uit te sluiten van het bestaande internet.
Je kan wel jezelf uitsluiten en een eigen internet opzetten, maar dat is een andere discussie?
MrMonkE @Accretion31 december 2019 18:05
ah ok, ik zie je punt.
The_Wounded @Accretion31 december 2019 19:45
Tenzij je ze fysiek afsluit maar dat is ook weer zo wat
RoelRoel @Accretion31 december 2019 21:14
Off topic, maar vroeger had je toch ook Het Net in Nederland wat een apart "internet" was voor Nederland?
dakka @eiateunissen31 december 2019 15:01
de groep die dit in opdracht van NK doet hoeft niet perse fysiek in NK te zitten, die kunnen ze ook in china of india of waar dan ook neerzetten.

Afsluiten heeft weinig nut want er zijn zo nog tig andere wegen.
mmjjb @eiateunissen31 december 2019 15:10
Kunnen dergelijke landen niet volledig van het internet worden afgesloten, bijvoorbeeld van buiten af?
Als je NK wilt afsluiten van het internet vanwege hack pogingen dan moet je ook consequent zijn en alle hackende landen afsluiten, dan blijft er weinig van het internet over.

[Reactie gewijzigd door mmjjb op 22 juli 2024 20:32]

PcDealer @Vlizzjeffrey31 december 2019 22:33
Je hebt gelijk, heel veel kinderporno wordt in Nederland gehost: nieuws: 'Nederlandse servers hosten meeste beelden van seksueel kindermisbrui...
Vlizzjeffrey @PcDealer31 december 2019 23:25
Inderdaad, schandalig is het, hebben ze zeker ook niet genoeg mankracht voor om aan te pakken, terwijl het iets is waarvan je zou denken dat het prioriteit zou hebben, al die darkweb markets gaan ze wel achteraan, toch vreemd.
CivLord @Vlizzjeffrey2 januari 2020 12:35
Natuurlijk gaan ze daar ook achteraan. De aard van de sites en d 'business' maakt dat ze een stuk minder makkelijk te ontdekken zijn.
Bij een marktplaats heb je (veel) aanbieders en kopers nodig. Je moet beiden actief zien aan te trekken door een vorm van reclame. Ook al is dat mond-tot-mond reclame op forums etc. Diegenen die er achter zitten rekenen nit op de anonimiteit van de site, maar op de anonimiteit van de gebruikers, door TOR, encryptie, etc. Het maakt ze niet uit of iedereen, inclusief alle politie-organisaties, weet dat de site bestaat, zolang er maar niet achter te komen is waar de server staat en wie de gebruikers zijn. Door de relatieve openheid en vele gebruikers zijn er veel punten waarop iets mis kan gaan en waar kan proberen achter de locatie van de server en de identiteit van de beheerders en gebruikers te komen.
Een site voor kinderporno is veel meer afgeschermd. Er wordt veel minder open over gesproken en dan vaak alleen in speciale, afgeschermde fora op andere soortgelijke sites. Het is voor de politie veel lastiger achter het bestaan van dergelijke sites te komen en veel lastiger om achter de gebruikers te komen, omdat er weinig tot geen transacties in real life plaats vinden.
Met dezelfde inspanning zal de opsporing van marktplaatsen veel makkelijker gaan. Maar dat betekent niet dat er niets tegen kinderporno wordt gedaan. Je leest ook daar regelmatig over dat er sites en netwerken worden opgedoekt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq