Microsoft обнаружила новые атаки хак-группы Nobelium, ответственной за громкий взлом SolarWinds в прошлом году. В числе пострадавших был и сотрудник, работающий в службе поддержки клиентов.
Напомню, что взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в истории. В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а в начале года сообщалось, что зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате этого инцидента пострадали такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп, Министерство юстиции и Национальное управление по ядерной безопасности.
Американские власти официально возложили ответственность за эту атаку на Россию. Администрация Джо Байдена заявила, что за атакой стояла Служба внешней разведки России и ее «правительственные хакеры», известные как APT 29, Cozy Bear, Nobelium или The Dukes. По данным властей, они «использовали платформу SolarWinds Orion и другие ИТ-инфраструктуры в рамках широкомасштабной кибершпионской кампании».
Как теперь сообщает Microsoft, группировка использовала брутфорс и password spraying, чтобы попытаться подобрать пароли и получить доступ к учетным записям клиентов Microsoft. Производитель ОС заявляет, что атака в основном были безуспешными, но хакеры все же скомпрометировали три неназванных объекта, и в настоящее время пострадавших уже уведомляют о случившемся.
«Эта активность была нацелена на конкретных клиентов, в первую очередь ИТ-компании (57%), затем правительственные учреждения (20%) и меньший процент атак пришелся на неправительственные организации, аналитические центры, а также сферу финансовых услуг», — заявила Microsoft. — Активность [злоумышленников] в основном была сосредоточена в США (около 45%), Великобритании (10%), а также Германии и Канаде. В общей сложности целями стали 36 стран».
Кроме того, в Microsoft заявили, что обнаружили малварь для кражи информации на устройстве одного из сотрудников, работающего агентом службы поддержки клиентов. В компании говорят, что Nobelium использовала это вредоносное ПО для сбора и кражи данных об учетных записях небольшого числа клиентов, которые хранились на устройстве сотрудника. Расследование этого инцидента все еще продолжается.
«В некоторых случаях злоумышленники использовали эту информацию для запуска целенаправленных атак в рамках своей более широкой кампании»,— признают в компании.
