Microsoft обнаружила новые атаки хак-группы Nobelium, ответственной за громкий взлом SolarWinds в прошлом году. В числе пострадавших был и сотрудник, работающий в службе поддержки клиентов.

Напомню, что взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в истории. В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию  и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, среди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а в начале года сообщалось, что заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов. В результате этого инцидента пос­тра­дали такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп, Министерство юстиции и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Американские власти официально возложили ответственность за эту атаку на Россию. Администрация Джо Байдена заявила, что за атакой стояла Служба внешней разведки России и ее «правительственные хакеры», известные как APT 29, Cozy Bear, Nobelium или The Dukes. По данным властей, они «использовали платформу SolarWinds Orion и другие ИТ-инфраструктуры в рамках широкомасштабной кибершпионской кампании».

Как теперь сообщает Microsoft, группировка использовала брутфорс и password spraying, чтобы попытаться подобрать пароли и получить доступ к учетным записям клиентов Microsoft. Производитель ОС заявляет, что атака в основном были безуспешными, но хакеры все же скомпрометировали три неназванных объекта, и в настоящее время пострадавших уже уведомляют о случившемся.

«Эта активность была нацелена на конкретных клиентов, в первую очередь ИТ-компании (57%), затем правительственные учреждения (20%) и меньший процент атак пришелся на неправительственные организации, аналитические центры, а также сферу финансовых услуг», — заявила Microsoft. — Активность [злоумышленников] в основном была сосредоточена в США (около 45%), Великобритании (10%), а также Германии и Канаде. В общей сложности целями стали 36 стран».

Кроме того, в Microsoft заявили, что обнаружили малварь для кражи информации на устройстве одного из сотрудников, работающего агентом службы поддержки клиентов. В компании говорят, что Nobelium использовала это вредоносное ПО для сбора и кражи данных об учетных записях небольшого числа клиентов, которые хранились на устройстве сотрудника. Расследование этого инцидента все еще продолжается.

«В некоторых случаях злоумышленники использовали эту информацию для запуска целенаправленных атак в рамках своей более широкой кампании»,— признают в компании.

Оставить мнение