Русскоязычная хак-группа APT29 (также известная под именами Cozy Bear, Nobelium или The Dukes) скомпрометировала центральный банк Королевства Дания и сохраняла доступ к сети финансового учреждения несколько месяцев, сообщает местное издание Version2.
Напомню, что ранее американские власти официально возложили ответственность за атаку на компанию SolarWinds именно на APT29 и российские спецслужбы. По данным властей, хакеры «использовали платформу SolarWinds Orion и другие ИТ-инфраструктуры в рамках широкомасштабной кибершпионской кампании».
Взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в истории. В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию и заразили ее платформу Orion малварью.
Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, но недавно сообщалось, что хотя зараженная версия платформы и была установлена примерно у 18 000 клиентов, реально от атак пострадали лишь около 100 из них. Тем не менее, в результате этого инцидента жертвами хакеров стали такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп, Министерство юстиции и Национальное управление по ядерной безопасности.
«Бэкдор SolarWinds в Национальном банке Дании был активен на протяжении семи месяцев, прежде чем атака была случайно обнаружена американской компанией Fire Eye», — заявляет Version2, ссылаясь на официальные документы, полученные от банка после запроса в рамках закона о свободе информации.
Хотя злоумышленники провели в сети банка долгое время, представители датского ЦБ уверяют, что не обнаружили каких-либо доказательств компрометации после этой стадии атаки (как это произошло с множеством других организаций, которые установили троянизированную версию Orion). Похоже, банк стал побочной жертвой более крупной хакерской операции и не представлял интереса для злоумышленников.