По данным Microsoft, хакеры, стоящие за одной из самых серьезных утечек данных, когда-либо имевших место в правительстве США, начали новую глобальную кибератаку на более чем 150 правительственных агентств, аналитических центров и других организаций.
Группа, которую Microsoft называет «Nobelium», на этой неделе нацелилась на 3000 учетных записей электронной почты в различных организациях, большинство из которых находятся в Соединенных Штатах, сообщила компания в своем блоге в четверг.
Microsoft считает, что хакеры являются частью той же российской группы, которая в прошлом году организовала разрушительную по своим масштабам атаку на поставщика программного обеспечения SolarWinds, которая была направлена как минимум на девять федеральных агентств США и ещё 100 компаний.
Кибербезопасность оказалась в центре внимания правительства США после того, как стало известно о том, что хакеры поместили вредоносный код в инструмент, опубликованный SolarWinds. Атака программы-вымогателя, в результате которой была остановлена одна из самых важных частей энергетической инфраструктуры Америки - Colonial Pipeline - в начале этого месяца только усилила чувство тревоги. По данным ФБР, это нападение было совершено преступной группировкой из России.
Microsoft заявила, что по крайней мере четверть целей хакерских атак на этой неделе были связаны с международным развитием, гуманитарной и правозащитной деятельностью как минимум в 24 странах. В докладе говорится, что Nobelium начала атаку, получив доступ к учетной записи электронной почты Constant Contact, используемой Агентством США по международному развитию (USAID).
«Эти атаки, по-видимому, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках усилий по сбору разведданных», - заявили в компании.
Получив доступ к учетной записи USAID, хакеры смогли рассылать фишинговые электронные письма, которые, по словам Microsoft, «выглядели аутентичными, но содержали ссылку, при нажатии на которую вставлялся вредоносный файл», что позволяло хакерам получать доступ к компьютерам через "бэкдор" (чёрный ход).
«Этот бэкдор может обеспечить широкий спектр действий, от кражи данных до заражения других компьютеров в сети», - заявили в Microsoft.
Одно из фальшивых электронных писем, которое, по всей видимости, было отправлено USAID, содержало подлинный адрес отправителя. Это электронное письмо представлялось «специальным оповещением», в котором получателям предлагалось щелкнуть ссылку «просмотреть документы» бывшего президента Дональда Трампа о фальсификациях на выборах.
Microsoft заявила, что многие атаки были заблокированы автоматически. Компания уведомляет клиентов, ставших целью, и заявила, что у нее «нет оснований полагать, что эти атаки связаны с каким-либо эксплойтом или уязвимостью в продуктах или услугах Microsoft».
Американские спецслужбы и правоохранительные органы во время взлома SolarWinds заявили, что ответственная за это группа «вероятно происходит из России», добавив, что атака была расценена как шпионаж.
Microsoft повторила свои предполагаемы мотивы злоумышленников в своем сообщении в блоге в четверг, заявив, что «в сочетании с атакой на SolarWinds становится ясно, что часть стратегии Nobelium состоит в том, чтобы получить доступ к надежным поставщикам технологий и заразить их клиентов».
«За счет совмещения обновлений программного обеспечения и теперь ещё массовых поставщиков электронной почты, Nobelium увеличивает шансы сопутствующего ущерба в шпионских операциях и подрывает доверие к технологической экосистеме», - заявили в компании.
Автор Игорь Черненков
Источник finversia.ru