Cyberthreat.id – Microsoft, raksasa teknologi Amerika Serikat, mengumumkan telah menurunkan 50 domain web yang sebelumnya digunakan oleh kelompok peretas yang diduga mendapat dukungan dari pemerintah Korea Utara.

Puluhan nama domain itu, menurut pembuat Windows itu, digunakan oleh grup yang disebut Thallium atau dikenal juga sebagai APT37.

Microsoft mengatakan tim Unit Kejahatan Digital (DCU) dan Pusat Ancaman Ancaman Microsoft (MSTIC) telah memantau Thallium selama berbulan-bulan, melacak kegiatan kelompok, dan memetakan perangkat lunaknya.

Pada 18 Desember lalu, Microsoft mengajukan gugatan terhadap Thallium di Pengadilan Virginia. Tak lama setelah Natal, otoritas AS memberikan Microsoft perintah pengadilan, yaitu memungkinkan perusahaan teknologi untuk mengambil lebih dari 50 domain yang digunakan peretas Korea Utara.

Menurut Microsoft, domain web tersebut digunakan untuk mengirim email phishing dan meng-host halaman phishing. Peretas Thallium akan memikat para korban di situs-situs ini, mencuri kredensial mereka, dan kemudian mendapatkan akses ke jaringan internal, dari mana mereka akan meningkatkan serangan mereka lebih jauh.

"Berdasarkan informasi korban, target operasi mereka termasuk pegawai pemerintah, lembaga think tank, anggota staf universitas, anggota organisasi yang berfokus pada perdamaian dunia dan hak asasi manusia, dan individu yang bekerja pada masalah proliferasi nuklir," kata Tom Burt, Wakil Presiden Korporat Pelanggan Keamanan & Kepercayaan di Microsoft.

"Sebagian besar target didasarkan di AS serta Jepang dan Korea Selatan," tambah Burt seperti dikutip dari ZDNet, Senin (30 Desember 2019).

Burt mengatakan, dalam banyak serangan ini, tujuan akhirnya adalah menginfeksi korban dengan malware, seperti KimJongRAT dan BabyShark, dua trojan akses jarak jauh (RAT).

"Setelah diinstal pada komputer korban, malware ini menggarong informasi darinya, mempertahankan keberadaan yang terus-menerus dan menunggu instruksi lebih lanjut," kata Burt.

Ini bukan pertama kalinya Microsoft menggunakan perintah pengadilan untuk menggagalkan operasi kelompok peretasan yang didukung pemerintah asing.

Microsoft menggunakan pendekatan ini 12 kali terhadap kelompok Rusia yang dikenal sebagai Strontium (APT28, Fancy Bear) dan menurunkan 84 domain, terakhir kali pada Agustus 2018.

Mereka juga menggunakan perintah pengadilan untuk menurunkan 99 domain yang dioperasikan oleh Phosphorus (APT35), pasukan cyber-spionase yang terkait dengan Iran.

Microsoft juga menggunakan perintah pengadilan untuk mengganggu operasi Barium, sebuah kelompok peretasan yang didukung pemerintah Cina, meskipun rincian tentang tindakan ini sedikit informasi.