Российские хакеры, подозреваемые в атаке на SolarWinds, снова атакуют предприятия США и всего мира
(9)
По сообщению Microsoft, на этой неделе поддерживаемые государством кибершпионы из России, стоящие за хакерской кампанией на SolarWinds, начали целенаправленную фишинговую атаку на иностранные правительственные учреждения и аналитические центры, используя маркетинговую учетную запись электронной почты Агентства США по международному развитию (USAid). Об этом сообщает The Guardian.
Поздним вечером в четверг вице-президент Microsoft Том Берт написал в своем блоге, что взломать попытались около 3000 учётных записей электронной почты в более чем 150 различных организациях. По крайней мере четверть из них вовлечена в процессы международного развития, гуманитарную деятельность и деятельность в области прав человека.
Он не уточнил, насколько успешной оказалась эта атака. Занимающаяся вопросами кибербезопасности комапния Volexity, имеющая менее прозрачную почтовую систему, чем Microsoft, и также отслеживающая фишинг, сообщила, что в связи с тем, что показатели обнаружения вредоносных писем являются относительно низкими, злоумышленники, ”скорее всего добились определённого успеха во взломе систем”.
Представителям Microsoft удалось определить, что инициаторами кибератаки стали участники российской группы хакеров Nobelium. Они же в 2020 году взламывали аккаунты клиентов SolarWinds.
Берт отметил, что эта кампания, по всей видимости, является очередной попыткой хакеров из России получить разведданные из ”правительственных учреждений, связанных с внешней политикой”. По его словам, пострадали как минимум 24 страны.
По сообщению Microsoft, хакеры получили доступ к аккаунту USAid, взломав маркетинговую службу электронной почты Constant Contact. Разосланные 25 мая и выглядевшие совершенно обычно фишинговые э-мейлы содержали новую ложную информацию о фальсификации выборов 2020 года и ссылку на вредоносное ПО, позволявшее хакерам ”иметь постоянный доступ к взломанной технике”.
Отдельно представители Microsoft рассказали, что массовой рассылке предшествовали несколько целенаправленных фишинговых атак, начавшихся ещё в январе.
Всё это происходит спустя всего лишь несколько недель после того, как от кибератаки пострадала компания Colonial Pipeline, которой тогда пришлось приостановить работу крупнейшей в США сети топливных трубопроводов.
Взлом SolarWinds начался ещё в марте 2020 года. Вредоносный код был внедрён во время обновления популярного программного обеспечения под названием Orion, созданного самой компанией. Эта платформа контролирует компьютерные сети предприятий и госучреждений на предмет сбоев. Вредоносное ПО позволяло хакерам иметь удалённый доступ к сетям организаций и воровать оттуда информацию.
Хакерскую атаку, от которой пострадали десятки частных компаний и аналитических центров, а также как минимум девять правительственных агентств США, киберпреступники тщательно скрывали на протяжении всего 2020 года. Она была обнаружена занимающейся кибербезопасностью компанией FireEye лишь в декабре. В отличие от этой кампании, новую атаку специалисты по кибербезопасности называют шумной и говорят, что вычислить её было легко.
Microsoft отмечает, что оба метода атаки: и взлом SolarWinds во время обновления ПО, предоставленного поставщиком, считавшимся надёжным, и взлом крупного провайдера электронной почты, — подрывают доверие к технологической экосистеме.
Президент Microsoft Брэд Смит назвал взлом SolarWinds ”самой крупной и изощрённой атакой, которую когда-либо видел мир”.
Глава российской разведки отрицал ответственность за атаку SolarWinds, но сказал, что ему ”льстят” обвинения США и Великобритании в том, что за такой изощрённой хакерской атакой стоит российская внешняя разведка.
Все актуальные новости от RusDelfi можно прочитать в Telegram: подписывайтесь и будьте в курсе событий страны и мира.
