Руски хакери атакуват глобални организации през Microsoft Teams
Свързана с руското правителство хакерска група се е прицелила в десетки световни организации с кампания за кражба на идентификационни данни за влизане в различни системи чрез включване в чатове в Microsoft Teams, представяйки се за техническа поддръжка, съобщават изследователи на Microsoft, цитирани от Reuters.
Тези "високоцелеви" атаки със социален инженеринг са засегнали "около 40 различни глобални организации" от края на май, обясняват изследователите на Microsoft, добавяйки, че в момента компанията провежда разследване.
Руското посолство във Вашингтон не е отговорило веднага на молбата за коментар на информационната агенция.
Хакерите са създали домейни и акаунти, които изглеждат като техническа поддръжка, и са се опитвали да ангажират потребителите на Teams в чатове, увещавайки ги да одобрят подкани за многофакторна автентикация (MFA).
"Microsoft ограничи възможността на зловредните актьори да използва домейните и продължава да разследва тази дейност и да работи за отстраняване на последиците от атаката", добавят от технологичния гигант.
Teams е собствена платформа за бизнес комуникация на Microsoft, която има над 280 милиона активни потребители, според финансовия отчет на компанията за януари, а MFA е широко препоръчвана мярка за сигурност, целяща да предотврати хакерски атаки или кражба на идентификационни данни. Но тази кампания в Teams предполага, че хакерите намират нови начини да я заобиколят.
Хакерската група, която стои зад тази дейност, известна в бранша като Midnight Blizzard или APT29, е базирана в Русия. Американските и британските служби отдавна са я свързали със службата за външно разузнаване на страната.
"Организациите, към които е насочена тази дейност, вероятно дават конкретни шпионски цели на Midnight Blizzard. Тя засяга правителствени служби, неправителствените организации (НПО), ИТ услуги, технологии, дискретни производства и медии", казват изследователите, без да назовават конкретни имена. "Тази атака, съчетана с предишни дейности, допълнително демонстрира, че Midnight Blizzard продължава да изпълнява целите си, като използва както нови, така и общоприети техники".
Известно е, че Midnight Blizzard се е насочвал към такива организации, главно в САЩ и Европа, още през 2018 г.
Според подробности в блога на Microsoft хакерите са използвали вече компрометирани акаунти в Microsoft 365, притежавани от малки компании, за да направят нови домейни, които изглеждат като структури за техническа поддръжка, като в тях дори присъства думата "microsoft". След това акаунтите, свързани с тези домейни, са изпращали фишинг съобщения на хора, които са примамвали чрез Teams, казват изследователите.