W środę researcherzy Microsoftu poinformowali, że rosyjska grupa hakerska powiązana z rządem wzięła na cel dziesiątki globalnych organizacji. Ich intencją była kradzież danych logowania poprzez angażowanie użytkowników w czaty Microsoft Teams w trkacie których udawali pracowników pomocy technicznej.
Jak podaje Reuters, hakerzy utworzyli domeny i konta, które wyglądały jak wsparcie techniczne, i próbowali zaangażować użytkowników Teams w czaty i skłonić ich do zatwierdzenia monitów o uwierzytelnianie wieloskładnikowe (MFA), twierdzą naukowcy.
Te „wysoce ukierunkowane” ataki socjotechniczne dotknęły „mniej niż 40 unikalnych globalnych organizacji” od końca maja, poinformowali badacze Microsoftu na blogu, dodając, że firma prowadzi dochodzenie. „Microsoft ograniczył korzystanie z domen i nadal bada tę aktywność i pracuje nad naprawieniem skutków ataku” – dodali.
Grupa hakerska stojąca za tą działalnością, znana w branży jako Midnight Blizzard lub APT29, ma swoją siedzibę w Rosji, a rządy Wielkiej Brytanii i USA powiązały ją z zagranicznymi służbami wywiadowczymi tego kraju, stwierdzili naukowcy.
Teams to zastrzeżona platforma komunikacji biznesowej firmy Microsoft, z ponad 280 milionami aktywnych użytkowników, zgodnie ze styczniowym sprawozdaniem finansowym firmy. MFA to powszechnie zalecany środek bezpieczeństwa mający na celu zapobieganie włamaniom lub kradzieży poświadczeń. Celowanie w Teams sugeruje, że hakerzy znajdują nowe sposoby na obejście tego problemu.
„Organizacje będące celem tej działalności prawdopodobnie wskazują konkretne cele szpiegowskie Midnight Blizzard obejmujące rząd, organizacje pozarządowe (NGO), usługi IT, technologie, produkcję dyskretną i sektory mediów” – powiedzieli, nie wskazując konkretnie żadnego z celów. – „Ten ostatni atak, w połączeniu z wcześniejszą działalnością, dodatkowo pokazuje ciągłą realizację celów Midnight Blizzard przy użyciu zarówno nowych, jak i powszechnych technik” – napisali naukowcy.
W wpisie nadmieniono, że Midnight Blizzard atakuje takie organizacje, głównie w Stanach Zjednoczonych i Europie, od 2018 roku. Hakerzy wykorzystali już skompromitowane konta Microsoft 365 należące do małych firm do tworzenia nowych domen, które wyglądały na podmioty pomocy technicznej i miały w sobie słowo „microsoft”, zgodnie ze szczegółami na blogu Microsoft. Konta powiązane z tymi domenami wysyłały następnie wiadomości phishingowe, aby zwabić ludzi za pośrednictwem Teams.
