Изследователи и експерти от компанията Microsoft съобщиха в сряда, че свързана с руското правителство хакерска група се е опитала да атакува десетки световни организации. Целта на тази кампания е кражба на идентификационни данни за достъп чрез включване на потребители в чатове на Microsoft Teams, като са се представяли за специалисти по техническа поддръжка.
От края на месец май насам въпросните „високоцелеви“ атаки са засегнали около 40 глобални организации. Това посочват изследователите на Microsoft в блог, като добавиха, че компанията провежда разследване.
Руското посолство във Вашингтон не отговори веднага на молбата за коментар от Ройтерс.
Хакерите са създали домейни и акаунти, които са наподобявали тези на техническата поддръжка. Освен това по думите на експертите са се опитвали да привлекат потребителите на Teams в чатове и да ги подтикнат да одобрят поканите за многофакторно удостоверяване (MFA).
Ето какво добавиха още от компанията:
„Майкрософт е ограничил възможностите на атакуващите да използват домейните и продължава да разследва тази дейност и да работи за отстраняване на последиците от атаката.“
Teams е платформа за бизнес комуникация на технологичния гигант Microsoft с повече от 280 милиона активни потребители, според финансовия отчет на компанията за месец януари.
Многофакторно удостоверяване (MFA) е широко препоръчителна мярка за сигурност, целяща да предотврати хакерски атаки или кражба на идентификационни данни. Насочването към Teams предполага, че хакерите намират нови начини да я заобиколят.
Хакерската група, която стои зад тази дейност е известна в бранша като Midnight Blizzard или APT29. Тя е със седалище в Русия и според изследователите правителствата на Обединеното кралство и САЩ са я свързали със службата за външно разузнаване на страната.
„Организациите, към които е ориентирана тази операция, вероятно показват конкретни шпионски цели на Midnight Blizzard, насочени към правителството, неправителствените организации (НПО), ИТ услугите, технологиите, дискретното производство и медийния сектор“, твърдят експертите, без да посочват имената на нито една от целите.
„Тази последна атака, съчетана с предишни дейности, допълнително демонстрира, че Midnight Blizzard продължава да преследва целите си, като използва както нови, така и общоприети техники“, написаха още изследователите.
Известно е, че Midnight Blizzard се е насочвала към такива организации, главно в САЩ и Европа, още през 2018г.
Според подробности в блога на Microsoft хакерите са използвали вече компрометирани акаунти в Microsoft 365, притежавани от малки фирми, за да направят нови домейни, които изглеждат като подразделения на техническата поддръжка и имат думата „microsoft“ в тях. След това акаунтите, свързани с тези домейни, са изпращали фишинг съобщения на хора, които са примамвали, чрез Teams, уточниха изследователите.
