Хакерска група, свързана с руското правителство, се е прицелила в десетки международни организации в рамките на кампания за кражба на идентификационни данни за влизане в акаунти, като е атакувала потребители в чатове в Microsoft Teams, представяйки се за техническа поддръжка, обяви Microsoft, цитирана от Ройтерс.
Тези „силно таргетирани“ атаки са засегнали „по-малко от 40 отделни глобални организации“ от края на май насам, посочват експерти от Microsoft в публикация в блога на компанията, допълвайки, че тя разследва въпроса.
Руското посолство във Вашингтон не е отговорило веднага на запитванията за коментар по темата.
Хакерите са създали домейни и акаунти, които изглеждат като на техническа поддръжка и са се опитали да ангажират потребителите на Teams в чатове, като ги накарат да одобрят покани за многофакторно удостоверяване (MFA).
„Microsoft е попречила на играча да използва домейните и продължава да разследва тази дейност и да работи за отстраняване въздействието на атаката“, допълва компанията.
Teams е платформата за бизнес комуникация на Microsoft, с над 280 млн. активни потребители, показва финансовият отчет на компанията за януари.
Многофакторното удостоверяване е препоръчвана мярка за сигурност, насочена към предотвратяване на хакерски атаки или кражба на идентификационни данни. Таргетирането на Teams предполага, че хакерите търсят нови начини да преодолеят подобни защити.
Хакерската група зад тази дейност, известна в индустрията като Midnight Blizzard или APT29, е базирана в Русия, а британското и американското правителство я свързват с външното разузнаване на страната.
„Организациите, към които е насочена тази дейност, вероятно показват конкретни шпионски цели от Midnight Blizzard, насочени към правителство, неправителствени организации (НПО), ИТ услуги, технологии, производство и медийния сектор“, казаха експертите на Microsoft, без да назовават никоя от целите.
„Тази последна атака, комбинирана с минали дейности, допълнително демонстрира продължаващото изпълнение на целите на Midnight Blizzard, която използва както нови, така и познати техники“, пишат изследователите.
Midnight Blizzard е известна с това, че се прицелва в такива организации, предимно в САЩ и Европа, като прави това още от 2018 г.
Хакерите са използвали вече компрометирани Microsoft 365 акаунти, притежавани от малки фирми, за да създадат нови домейни, които изглеждат като техническа поддръжка и съдържат думата „Microsoft“ в тях, пише още в блога на Microsoft. Акаунтите, свързани с тези домейни, след това изпращат фишинг съобщения, за да примамват хората през Teams.