Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft neemt 50 domeinnamen over van hackersgroep gelinkt aan Noord-Korea

Microsoft heeft vijftig domeinnamen overgenomen van hackersgroep APT37. Die wordt door beveiligingsexperts gelinkt aan Noord-Korea. De domeinen werden gebruikt om aanvallen uit te voeren op onder andere overheidsmedewerkers in Amerika, Japan en Zuid-Korea.

Microsoft heeft de groep aangeklaagd, schrijft het bedrijf in een blogpost. Daardoor kreeg Microsoft het recht de domeinnamen van de groep over te nemen. Het gaat om websites die werden gebruikt voor spearphishingcampagnes. De aanvallers verstuurden gerichte e-mails die afkomstig leken van Microsoft, waarbij bijvoorbeeld de m was veranderd in een r en een n. De malware die op die manier werd verspreid was bedoeld om informatie te stelen van de systemen. Microsoft zegt dat de slachtoffers voornamelijk ambtenaren, universiteitsmedewerkers, denktanks en mensenrechtenorganisaties waren.

De domeinen waren onderdeel van aanvalscampagnes van een groep die Microsoft Thallium noemt. Die groep wordt door andere beveiligingsexperts aangeduid als APT37, en wordt over het algemeen gelinkt naar het Noord-Koreaanse regime. De groep werd ontdekt door Microsofts Digitale Crime Unit, en het Microsoft Threat Intelligence Center. De onderzoekers zouden de groepen maanden in de gaten hebben gehouden. Microsoft-onderzoekers hebben wel vaker staatshackers betrapt. Onlangs werden groepen uit Rusland en Iran tegengehouden.

Door Tijs Hofmans

Redacteur privacy & security

31-12-2019 • 14:32

32 Linkedin

Submitter: wildhagen

Reacties (32)

Wijzig sortering
ze staan niet bij Microsoft, maar nog bij sedo (Duits bedrijf). Het A-record verwijst gewoon naar je localhost adres:

Name TTL Until Refresh Class Type Data
rnicrosoft.com. 85604 IN A 127.0.0.1
rnicrosoft.com. 85604 IN NS ns1.sedoparking.com.
rnicrosoft.com. 85604 IN NS ns2.sedoparking.com.
rnicrosoft.com. 85604 IN SOA ns1.sedoparking.com. hostmaster.sedo.de. 2018052501 86400 10800 604800 86400
rnicrosoft.com. 2804 IN MX 0 localhost.
rnicrosoft.com. 2804 IN TXT "v=spf1 -all"

Geen idee hoe het juist gelopen is dat een lokaal district court een buitenlands bedrijf zo ver heeft gekregen, maar in Amerika gaan ze er technisch van uit dat het internet van hen is (CDC own ICANN en het merendeel van de root-servers), dus zal daar wel wat misbruik zijn geweest
Wel geestig: een mx-record naar localhost maar wél een SPF-record ;)
Die SPF is leeg, dus alles verbieden.
.com wordt beheerd door de registry Verisign een Amerikaans bedrijf en dus worden de domeinnamen overgedragen als de Amerikaanse rechter dat wil.
Microsoft heeft de groep niet enkel aangeklaagd, zoals in het artikel beschreven, maar de rechtbank heeft ook al geoordeeld dat de domeinnamen aan Microsoft moeten worden afgedragen. Zie de volgende passage in de blogpost:
Our court case against Thallium, filed in the U.S. District Court for the Eastern District of Virginia, resulted in a court order enabling Microsoft to take control of 50 domains that the group uses to conduct its operations.
Dat staat bijna letterlijk in het artikel 8)7
Microsoft heeft de groep aangeklaagd, schrijft het bedrijf in een blogpost. Daardoor kreeg Microsoft het recht de domeinnamen van de groep over te nemen.
.
Het klonk naar mijn mening alsof het verkrijgen van de domeinnamen het gevolg was van enkel het aanklagen, maar dit is dus niet het geval
gelukkig bestaat het top level domain .corn (CORN) nog niet ;)
Nee maar rnicrosoft wel ;) (r + n = rn)
Daar gaat dit artikel ook over. Maar als CORN TLD ipv COM gemaakt wordt, dan kan je daar zowat elke website op namaken, Google.corn, facebook.corn, twitter.corn, etc.
De regel is dat TLDs die tot verwarring kunnen leiden niet worden toegestaan om te registreren.
Off topic: Childrenofthe.corn zou ik dan zeker kopen 😜
Er is zoveel zwarte markt tussen Noord-Korea en China (inclusief afschuwelijkheden zoals vrouwenhandel) dat het lastig is de herkomst vast te stellen. Het zou net zo goed een Chinese APT kunnen zijn die onder de vlag van Noord-Korea opereert.
Wat voor domeinen?
micrsoft.com of soortgelijke voor phising?
Rnicrosoft.com onderandere zoals in de screenshot van de blog te zien is. Dus idd waarschijnlijk enkel gelijkaardige.
rnicrosoft.com, MICR0S0FT. COM, M1CROSOFT. COM, etc
Je kan vast zelf verder fantaseren :)
Kunnen dergelijke landen niet volledig van het internet worden afgesloten, bijvoorbeeld van buiten af? De eigen inwoners hebben in de meeste gevallen toch al geen enkele toegang tot het internet.
Het internet is niet een stuk land met grenscontrole waar je een muur omheen kan bouwen.

Anders werken de hackers toch wel via een VPN of satellietverbinding.

Het is natuurlijk wel wat onhandig dat domeinnamen die sterk lijken op "microsoft.com" zomaar gebruikt kunnen worden.

Maar een heel land uitsluiten van het internet heeft vergaande implicaties, naast dat het technisch ook vrij moeilijk zou zijn.

Daarnaast hackt ieder land er tegenwoordig zowat op los, het lijkt echter alsof steeds een klein aantal landen de schuld krijgen of opgemerkt worden.

[Reactie gewijzigd door FuaZe op 31 december 2019 15:07]

Rusland heeft dit net getest.
Dus het kan wel.
Wat Rusland doet is zichzelf buitensluiten, niet een land buitensluiten?

Je kan toch via een Duitse (of Nederlandse) VPN verbinden met Nederland, als NL een blokkering heeft op Noord Korea.

Het is m.i. moeilijk om een uit te sluiten van het bestaande internet.
Je kan wel jezelf uitsluiten en een eigen internet opzetten, maar dat is een andere discussie?
ah ok, ik zie je punt.
Tenzij je ze fysiek afsluit maar dat is ook weer zo wat
Off topic, maar vroeger had je toch ook Het Net in Nederland wat een apart "internet" was voor Nederland?
de groep die dit in opdracht van NK doet hoeft niet perse fysiek in NK te zitten, die kunnen ze ook in china of india of waar dan ook neerzetten.

Afsluiten heeft weinig nut want er zijn zo nog tig andere wegen.
Kunnen dergelijke landen niet volledig van het internet worden afgesloten, bijvoorbeeld van buiten af?
Als je NK wilt afsluiten van het internet vanwege hack pogingen dan moet je ook consequent zijn en alle hackende landen afsluiten, dan blijft er weinig van het internet over.

[Reactie gewijzigd door mmjjb op 31 december 2019 15:13]

Inderdaad, schandalig is het, hebben ze zeker ook niet genoeg mankracht voor om aan te pakken, terwijl het iets is waarvan je zou denken dat het prioriteit zou hebben, al die darkweb markets gaan ze wel achteraan, toch vreemd.
Natuurlijk gaan ze daar ook achteraan. De aard van de sites en d 'business' maakt dat ze een stuk minder makkelijk te ontdekken zijn.
Bij een marktplaats heb je (veel) aanbieders en kopers nodig. Je moet beiden actief zien aan te trekken door een vorm van reclame. Ook al is dat mond-tot-mond reclame op forums etc. Diegenen die er achter zitten rekenen nit op de anonimiteit van de site, maar op de anonimiteit van de gebruikers, door TOR, encryptie, etc. Het maakt ze niet uit of iedereen, inclusief alle politie-organisaties, weet dat de site bestaat, zolang er maar niet achter te komen is waar de server staat en wie de gebruikers zijn. Door de relatieve openheid en vele gebruikers zijn er veel punten waarop iets mis kan gaan en waar kan proberen achter de locatie van de server en de identiteit van de beheerders en gebruikers te komen.
Een site voor kinderporno is veel meer afgeschermd. Er wordt veel minder open over gesproken en dan vaak alleen in speciale, afgeschermde fora op andere soortgelijke sites. Het is voor de politie veel lastiger achter het bestaan van dergelijke sites te komen en veel lastiger om achter de gebruikers te komen, omdat er weinig tot geen transacties in real life plaats vinden.
Met dezelfde inspanning zal de opsporing van marktplaatsen veel makkelijker gaan. Maar dat betekent niet dat er niets tegen kinderporno wordt gedaan. Je leest ook daar regelmatig over dat er sites en netwerken worden opgedoekt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True