Группа хакеров, связанных с российскими спецслужбами, атаковала десятки организаций по всему миру в рамках кампании по краже учетных данных из чатов Microsoft Teams, выдавая себя за сотрудников службы технической поддержки. Об этом заявили исследователи компании Microsoft, на которых ссылается Reuters.
Исследователи Microsoft сообщили в своем блоге, что с конца мая «целенаправленные» атаки затронули «не менее 40 уникальных глобальных организаций», добавив, что компания проводит расследование.
«Перечень организаций, подвергшихся атаке, вероятно, указывает на конкретные цели шпионажа Midnight Blizzard – правительства, неправительственные организации (НПО), ИТ-услуги, технологии, дискретное производство и медиа-сектор», — сказали они.
Посольство России в Вашингтоне не сразу ответило на запрос о комментарии.
По словам исследователей, хакеры создали домены и учетные записи, которые выглядели как сообщения и страницы службы поддержки, и пытались заманить пользователей Teams в чаты и заставить их одобрять запросы многофакторной аутентификации (MFA).
Согласно финансовому отчету компании за январь, Teams — это запатентованная платформа Microsoft для деловых коммуникаций с более чем 280 миллионами активных пользователей.
MFA — широко рекомендуемая мера безопасности, направленная на предотвращение взлома или кражи учетных данных. Атака на Teams показывает, что хакеры находят новые способы обхода многофакторной аутентификации.
Хакерская группа, стоящая за этой деятельностью, известная в отрасли как Midnight Blizzard или APT29, базируется в России, и правительства Великобритании и США связывают ее со службой внешней разведки РФ.
«Эта последняя атака в сочетании с прошлыми действиями еще раз демонстрирует стремление Midnight Blizzard к достижению своих целей с использованием новых и традиционных методов», — пишут исследователи.
Согласно подробностям в блоге Microsoft, хакеры использовали уже скомпрометированные учетные записи Microsoft 365, принадлежащие малым предприятиям, для создания новых доменов, которые выглядели как организации технической поддержки и содержали слово «Microsoft». Учетные записи, связанные с этими доменами, рассылали фишинговые сообщения, чтобы заманить людей в Teams.
Роскомнадзор пытается заблокировать доступ к сайту Крым.Реалии.Беспрепятственно читать Крым.Реалии можно с помощью зеркального сайта: https://d18sxlpjxcp4tm.cloudfront.net/ следите за основными новостями в Telegram, Instagram и Viber Крым.Реалии. Рекомендуем вам установить VPN.
