Hakerska grupa povezana sa ruskom vladom gađala je desetine globalnih organizacija sa kampanjom za krađu akreditiva za prijavljivanje angažujući korisnike u Microsoft Teams četove koji se pretvaraju da su iz tehničke podrške, rekli su u sredu istraživači Majkrosofta, piše Rojters.
Ovi „visoko ciljani“ napadi socijalnog inženjeringa uticali su na „manje od 40 jedinstvenih globalnih organizacija“ od kraja maja, rekli su istraživači Majkrosofta na blogu, dodajući da kompanija istražuje.
Ruska ambasada u Vašingtonu nije odmah odgovorila na zahtev za komentar.
Hakeri su postavili domene i naloge koji su ličili na tehničku podršku i pokušali da angažuju korisnike Teams-a u razgovorima i nateraju ih da odobre upite za višefaktorsku autentifikaciju (MFA), rekli su istraživači.
„Majkrosoft je sprečio aktera da koristi domene i nastavlja da istražuje ovu aktivnost i radi na otklanjanju uticaja napada“, dodali su.
Teams je Microsoft-ova vlasnička platforma za poslovnu komunikaciju, sa više od 280 miliona aktivnih korisnika, prema januarskom finansijskom izveštaju kompanije.
MFA su široko preporučena bezbednosna mera koja ima za cilj sprečavanje hakovanja ili krađe akreditiva. Ciljanje timova sugeriše da hakeri pronalaze nove načine da ga prevaziđu.
Hakerska grupa koja stoji iza ove aktivnosti, poznata u industriji kao Midnight Blizzard ili APT29, nalazi se u Rusiji, a vlade Velike Britanije i SAD su je povezale sa stranom obaveštajnom službom zemlje, rekli su istraživači.
„Organizacije ciljane u ovoj aktivnosti verovatno ukazuju na specifične ciljeve špijunaže Midnight Blizzarda usmerene na vladu, nevladine organizacije (NVO), IT usluge, tehnologiju, diskretnu proizvodnju i medijske sektore“, rekli su oni, ne navodeći nijednu od meta.
„Ovaj najnoviji napad, u kombinaciji sa prošlom aktivnošću, dodatno pokazuje da Midnight Blizzard u toku izvršava svoje ciljeve koristeći nove i uobičajene tehnike“, napisali su istraživači.
Poznato je da Midnight Blizzard cilja na takve organizacije, uglavnom u SAD i Evropi, još od 2018. godine, dodali su.
Hakeri su koristili već kompromitovane Microsoft 365 naloge u vlasništvu malih preduzeća kako bi napravili nove domene koji su izgledali kao subjekti tehničke podrške i koji su imali reč „majkrosoft“ u sebi, prema detaljima na Microsoft blogu. Nalozi povezani sa ovim domenima su zatim slali phishing poruke da bi mamce ljude preko Teams-a, rekli su istraživači.