Microsoft: с мая российская СВР взломала как минимум 14 ИТ-компаний

Microsoft: с мая российская СВР взломала как минимум 14 ИТ-компаний

Источник · Перевод автора

Microsoft заявляет, что поддерживаемая Россией группа угроз Nobelium, стоящая за прошлогодним взломом SolarWinds, по-прежнему нацелена на глобальную цепочку поставок ИТ: с мая 2021 года было атаковано 140 поставщиков управляемых услуг (MSP) и поставщиков облачных услуг, и по меньшей мере 14 взломаны.

Эта кампания разделяет все признаки подхода Nobelium к компрометации значительного списка целей путем взлома их поставщика услуг.

Как и в предыдущих атаках, российские государственные хакеры использовали разнообразный и постоянно меняющийся инструментарий, включающий длинный список инструментов и тактик, начиная от вредоносных программ, спрея паролей и кражи токенов до злоупотреблений API и целевого фишинга.

Основными целями этих новых атак являются реселлеры и поставщики технологических услуг, которые развертывают и управляют облачными сервисами и аналогичными технологиями для своих клиентов.

Microsoft уведомила затронутые цели об атаках после их обнаружения, а также добавила средства обнаружения к своим продуктам защиты от угроз, позволяя тем, кто нацелен в будущем, обнаруживать попытки вторжения.

С июля охвачено более 600 клиентов Microsoft

«С мая мы уведомили более 140 торговых посредников и поставщиков технологических услуг, ставших целью Nobelium, – сказал Том Берт (Tom Burt), корпоративный вице-президент Microsoft.

«Мы продолжаем расследование, но на сегодняшний день считаем, что 14 из этих торговых посредников и поставщиков услуг были скомпрометированы».

Как добавил Берт, в целом более 600 клиентов Microsoft подвергались атакам тысячи раз, хотя в период с июля по октябрь с очень низким уровнем успеха.

«Эти атаки были частью более широкой волны деятельности Nobelium этим летом. Фактически, в период с 1 июля по 19 октября этого года мы проинформировали 609 клиентов о том, что они подвергались атакам со стороны Nobelium 22 868 раз, с низким уровнем успешности. однозначные цифры, – сказал Берт.

«Для сравнения, до 1 июля 2021 года мы уведомляли клиентов об атаках со стороны всех субъектов национального государства 20 500 раз за последние три года».

Это показывает, что Nobelium все еще пытается начать атаки, аналогичные той, которую они осуществили после взлома систем SolarWinds, чтобы получить долгосрочный доступ к системам представляющих интерес целей и установить каналы шпионажа и эксфильтрации.

Microsoft также поделилась мерами, которые MSP, поставщики облачных услуг и другие технические организации могут предпринять для защиты своих сетей и клиентов от этих продолжающихся атак Nobelium.

Мишени высокого профиля Nobelium

Nobelium – это хакерское подразделение Службы внешней разведки России (СВР), также известное как APT29, Cozy Bear и The Dukes.

В апреле 2021 года правительство США официально обвинило подразделение СВР в координации «широкомасштабной кампании кибершпионажа SolarWinds», которая привела к компрометации нескольких правительственных агентств США.

В конце июля Министерство юстиции США было последним правительственным учреждением США, сообщившим о взломе 27 офисов прокуроров США во время глобальной хакерской атаки SolarWinds.

В мае Microsoft Threat Intelligence Center (MSTIC) также сообщил о фишинговой кампании, нацеленной на государственные учреждения из 24 стран.

Ранее в этом году Microsoft подробно рассказала о трех разновидностях вредоносных программ Nobelium, используемых для поддержания устойчивости в скомпрометированных сетях: бэкдор управления и контроля, получивший название GoldMax, инструмент отслеживания HTTP, отслеживаемый как GoldFinder, инструмент сохранения и дроппер вредоносных программ под названием Sibot.

Два месяца спустя они выявили еще четыре семейства вредоносных программ, которые Nobelium использовал в своих атаках: загрузчик вредоносных программ, известный как BoomBox, загрузчик и программа запуска шеллкода, известный как VaporRage, вредоносное HTML-вложение, получившее название EnvyScout, и загрузчик с именем ‘NativeZone’.