Microsoft заявляет, что хакеры SolarWinds теперь нацелены на государственные учреждения и неправительственные организации
Microsoft наблюдала за группой, стоящей за печально известной атакой SolarWinds, нацеленной на многочисленные правительственные учреждения, аналитические центры, НПО и многое другое. Новая волна атак со стороны хакерской группы, получившей название Nobelium, охватила тысячи учетных записей электронной почты в более чем 150 организациях.
В то время как большинство организаций расположены в США, организации потерпевших действуют в 24 странах, многие объекты которых непосредственно занимаются гуманитарной помощью, правозащитной деятельностью и международным развитием.
Microsoft подтверждает новую кампанию хакеров SolarWinds
В своем сообщении в блоге Microsoft On the Issues корпоративный вице-президент по безопасности и доверию клиентов Том Берт подтвердил и подробно описал последнюю атаку Nobelium.
Nobelium из России – тот же субъект, который стоит за атаками на клиентов SolarWinds в 2020 году. Эти атаки, по всей видимости, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках усилий по сбору разведданных.
Последняя атака началась с того, что Nobelium получил доступ к учетной записи электронной почты USAID. Оттуда злоумышленники могли рассылать целевые фишинговые электронные письма, содержащие вредоносную ссылку. После нажатия жертва загружает и устанавливает NativeZone, бэкдор, который обеспечивает расширенный доступ и контроль над удаленным компьютером.
Согласно техническому блогу Microsoft Threat Intelligence Center об атаке, многие из отправленных вредоносных писем могли быть заблокированы и помечены как спам из-за огромного объема, в котором они были отправлены.
Однако эти системы не являются надежными, и некоторые электронные письма проходят через системы автоматического обнаружения «либо из-за настроек конфигурации и политики, либо до того, как были обнаружены данные». Тем не менее, Microsoft отмечает, что ее системы безопасности блокируют вредоносное ПО, использованное в атаке.
Блог Центра аналитики угроз также содержит информацию о технической стороне атаки Nobelium и используемом вредоносном ПО.
SolarWinds Attackers Nobelium Resurface
Возрождение Nobelium – тревожный знак, не в последнюю очередь потому, что злоумышленники имеют успешный послужной список для взлома высокоуровневых сетей и получения доступа к критически важным данным.
Как неоднократно заявляли Microsoft и другие крупные технологические компании, больше действий против национальных хакерских групп (иногда называемых APT) должны исходить от правительств. Эти огромные атаки не замедляются. Во всяком случае, вероятность успеха подталкивает злоумышленников к поиску большего количества целей, особенно к тем, которые могут иметь слабые протоколы безопасности.
Наконец, вызывает беспокойство и круг целей. Нацеленные на гуманитарные усилия, неправительственные организации и активистов-правозащитников показывают, что эта форма нападения стала одним из основных средств выбора для определенных национальных государств, используемого для подрыва или прекращения текущей работы в критических областях.