Špeciálna skupina Microsoftu Digital Crime Unit (DCU) podľa viceprezidenta spoločnosti Toma Burta sledovala podvodníkov niekoľko mesiacov a podarilo sa im pomerne dobre zmapovať ich systém fungovania a najmä štruktúru.
Obete chytali na preklep
„Snažili sa vytipovať dôležité terče, získať ich citlivé prihlasovacie údaje a kompromitovať ich online pripojenie. Išlo im najmä o štátnych zamestnancov, vedeckých pracovníkov na univerzitách, ľudskoprávnych aktivistov ale aj o ľudí pracujúci v jadrovom programe,“ konštatoval viceprezident Microsoftu Tom Burt. Ako dodal, väčšina obetí pochádzala z USA, Japonska a Južnej Kórey.
Podľa Burta skupina využívala techniku známu pod názvom „spear phishing.“ V princípe ide o „lovenie na háčik,“ keď hackeri chytajú konkrétne vybranú osobu na falošný email alebo inú správu, ktorá zdanlivo pôsobí dôveryhodne. No namiesto prepojenia na spoločnosť Microsoft ich email prepojil s úplne iným serverom, bez toho, aby to tušili.
Tu je príklad podvodného emailu, kedy je rozdiel oproti dôveryhodnému originálu iba veľmi nepatrný. Namiesto adresy microsoft.com je na konci rnicrosoft.com, čo človek veľmi ľahko prehliadne.
„Po kliknutí na odkaz v emaily bola schopná skupina Thallium dostať sa do užívateľského konta a sledovať všetko, čo sa tam deje, vrátane nepozorovaného čítania správ alebo emailov,“ dodáva Burt z Microsoftu.
Spoločnosť Microsoft ďalej doplnila, že podľa ich zistení severokórejskí špióni nielen čítali správy, ale dokázali aj nainštalovať softvér, ktorý na pozadí odosielal dáta z počítača obete.
Štvrtá odhalená sieť
V prípade Thallia ide už o štvrtú sieť, ktorú sa podarilo odstaviť. Microsoft totiž požiadal americký súd, aby vydal súdny príkaz na odpojenie podozrivých serverov, čomu aj vyhovel. Microsoft na základe toho celú podozrivú sieť odblokoval.
V minulosti sa podarilo odhaliť a vypnúť tri ďalšie siete podvodníkov, ktoré nazvali podľa chemických prvkov – Bárium z Číny, Stroncium z Ruska a Fosfor z Iránu.
