Многовекторная атака: Microsoft заявил о взломе русскими хакерами USAID

Microsoft обвинил Россию в кибератаке на 150 американских организаций

Сергей Коньков/ТАСС
Компания Microsoft сообщила о том, что хакерская группировка из России Nobelium якобы совершила атаки на 150 коммерческих организаций и государственных учреждений по всему миру. По версии компании, эта же группировка стояла за атакой на SolarWinds, и нынешние ее преступления — это продолжение многочисленных попыток получить доступ к государственным разведданным.

На этой неделе Microsoft зарегистрировала несколько атак, направленных на правительственные учреждения, аналитические центры и частные организации, сообщает компания в своем официальном блоге.

Волна атак затронула около 3 тыс. e-mail аккаунтов в более чем 150 организациях в 24 странах мира. Около четверти всех пострадавших компаний были связаны с предоставлением гуманитарной помощи и защитой прав человека.

Согласно сообщению Microsoft, Nobelium получила доступ к почтовому аккаунту USAID (Агентства по международному развитию США), который используется для маркетинга по электронной почте. С его помощью хакеры могли распространить фишинговые письма со ссылкой, содержащей вредоносное ПО, которое распространяло бэкдор NativeZone. Стоит отметить, что большая часть атак была заблокирована средствами защиты Windows, и, как уверяет компания, она не обнаружила уязвимости, которыми потенциально могли бы воспользоваться хакеры.

Как утверждают в Microsoft, Nobelium — хакерская группировка из России, которая стояла за атакой SolarWinds в 2020 году. Нынешние атаки, согласно данным компании, должны были стать продолжением многочисленных попыток хакеров получить доступ к разведданным.

По мнению корпорации, Nobelium хочет подорвать доверие к технологической экосистеме путем атак на поставщиков технологий и их клиентов. Также Microsoft обвиняет группировку в том, что она действует в интересах российского правительства.

Microsoft отметила, что кибератак на государственные учреждения становится все больше, и призвала ввести правила, регулирующие эту сферу, а также действовать в рамках «Парижского призыва к доверию и безопасности в киберпространстве» для создания открытой, стабильной и мирной киберсреды.

Директор департамента информационной безопасности компании Oberon Евгений Суханов рассказал «Газете.Ru», что упомянутый Microsoft хакерский взлом – многовекторная таргетированная атака, направленная на кражу данных целевых компаний и инфицирования устройств и инфраструктуры для дальнейшего управления.

«Сложность распознавания и защиты от этой атаки обусловлена этапами ее прохождения. На первом этапе мошенники рассылали фишинговые письма и собирали информацию о реальных почтовых адресах получателей этой рассылки. На втором этапе был сформирован перечень целевых компаний для проведения атаки. В фишинговые письма добавили ссылку, пройдя по которой пользователь заражал свое устройство, причем для мобильных устройств было разработано отдельное вредоносное ПО. На третьем этапе мошенники получили доступ к почтовому ящику, который легитимно используется для проведения рассылок по клиентам (например, от издателей программного обеспечения), и электронный адрес компании, занимающейся такими рассылками.

С помощью этого ящика в апреле началась массовая рассылка фишинговых писем с использованием ранее разработанного вредоносного ПО.

И атака прошла успешно в большинстве случаев, поскольку была подготовлена с максимальной осторожностью и с учетом настроек средств защиты информации, которые ее не распознавали», — объяснил Суханов.

По словам эксперта, на практике такие целевые и эшелонированные атаки на группу компаний имеют довольно высокий шанс на реализацию, поскольку этапность их проведения и подготовка позволяют обходить выстроенные модели защиты.

Генеральный директор АНО «Цифровые платформы» Арсений Щельцин в беседе с «Газетой.Ru» усомнился в объективности данной статьи Microsoft, отметив, что блог носит публицистический характер. Щельцин считает, что подобные атаки могли быть успешно реализованы из-за ранее обнаруженных уязвимостей в Windows.

«Три месяца назад была найдена серьезная уязвимость в Microsoft Exchange Server ,который как раз мог стать и точкой входа и инструментом для определения последующих жертв... Не все компании обновили свои Exchange-сервера, потому что не было проведено серьёзного публичного информирования, вполне возможно, что те люди, которые сейчас пострадали, просто не успели вовремя обновиться», — считает эксперт.