Microsoft обвинила российскую хакерскую группировку в краже электронных писем руководства компании

Microsoft заявила, что связанная с СВР хакерская группировка NOBELIUM/Midnight Blizzard взломала их системы и получила доступ к некоторым внутренним имейлам, включая те, что относились к старшему руководству компании. Об этом говорится в пресс-релизе компании. 

Согласно отчёту американских и европейских спецслужб, NOBELIUM работает с СВР. Считается, что хакеры использовали критические уязвимости для доступа к системам программы TeamCity, которую разрабатывают в JetBrains. Считается, что работающие на Кремль хакеры также запустили в американские системы вирусы WellMess, WellMail и Sorefang, которые атаковали разработчиков вакцины от коронавируса и энергетические компании. 

Помимо Midnight Blizzard в сеть используемых разведкой команд хакеров входят APT 29, The Dukes и CozyBear. Считается, что некоторые конкретные хакеры могут состоять сразу в нескольких организациях.

Процесс взлома начался в ноябре прошлого года. Как заявили в Microsoft, хакеры использовали так называемую атаку password spray, при которой боты подбирают разные логины под один пароль. Чаще всего такая техника используется для взлома аккаунтов, которые не поменяли пароль по умолчанию на новый. Согласно пресс-релизу, взломщикам удалось получить доступ к тестовой учётной записи, а через неё — к ряду других.

В компании отказываются называть, кого именно затронула атака. Там заявляют, что в руках Midnight Blizzard оказались данные «очень небольшого процента корпоративных учетных записей» электронной почты Microsoft. При этом, согласно всё той же публикации, хакеры получили доступ к имейлам сотрудников отделов кибербезопасности, юридического и других подразделений. Аналитики считают, что взломщиков изначаьлно интересовала «информация, связанная с самой Midnight Blizzard».

Более того, СВР смогла скачать письма и файлы некоторых «членов высшего руководства» Microsoft. Неизвестно, о каких именно менеджерах идёт речь и какие конкретно данные оказались в распоряжении злоумышленников, а, следовательно, и Кремля, в компании не раскрывают.

«Атака не была результатом уязвимости в продуктах или услугах Microsoft. На сегодняшний день нет никаких доказательств того, что злоумышленник имел какой-либо доступ к клиентской среде, производственным системам, исходному коду или системам искусственного интеллекта. Мы уведомим клиентов, если потребуются какие-либо действия. Эта атака подчеркивает сохраняющийся риск для всех организаций со стороны хорошо обеспеченных ресурсами государства», — говорится в публикации.

Ранее Cozy Bear атаковали 22 посольства в Киеве. Для этого использовалась рассылка объявления о продаже BMW по выгодной цене от имени польского дипломата. По данным аналитиков, хакеры перехватили сообщение и встроили в него один из своих вирусов, а затем продолжили рассылку в дипмиссии, базирующиеся в Киеве.

Для взлома планировалось использовать «заражённые» вирусом картинки. Неизвестно, насколько успешной была эта атака. В декабре прокремлёвская хакерская группировка «Солнцепёк» взломала крупнейшего украинского мобильного оператора «Киевстар». По словам чиновников, им удалось повредить «почти всё» оборудование, включая тысячи виртуальных серверов и ПК.