Понемножку обо всем
238,790
4,060
|
Хранитель Храма ( Слушатель ) |
| 28 май 2021 16:35:08 |
Microsoft утверждает, что нашла доказательства еще одного государственного взлома при поддержке России
новая дискуссия Статья 149
Microsoft утверждает, что нашла доказательства еще одного государственного взлома при поддержке России
ТАЙЛЕР ДЕРДЕН
ПЯТНИЦА, 28 МАЯ 2021 Г. - 08:10
В последние годы хакеры добились серьезных успехов в своей способности обходить защиту корпоративных систем, и это одна из причин, по которой мы видели так много громких инцидентов, в том числе взлом Colonial Pipeline (который еще больше укрепил смелость теневых преступных групп по всему миру после того, как компания заплатила выкуп почти в 5 миллионов долларов). Но пока мир ждет, когда правительство США привлечет к ответственности скрытую группу, известную как Darkside, Microsoft предупредила в своем блоге, опубликованном в пятницу утром, что обнаружила доказательства еще одного масштабного правительственного взлома, который уже осуществляется.
В своем сообщении в блоге, опубликованном в пятницу, вице-президент Microsoft Том Берт сказал, что атака на прошлой неделе (которая все еще продолжается) предоставила доступ примерно к 3000 учетным записям электронной почты в более чем 150 организациях путем проникновения в службу цифрового маркетинга, используемую Агентством международного развития США (USAID) называется «Постоянный контакт».
Хакеры распространяли фишинговые электронные письма, в том числе «специальные оповещения», в которых заявлялось, что бывший президент Трамп опубликовал новые документы о фальсификации выборов, и предлагалось пользователям их просмотреть.
Хакерам, внедрившимся в поставщика программного обеспечения Solarwinds, удалось совершить, по словам Microsoft, одну из худших утечек данных, когда-либо нанесенных правительству США. Теперь эта новая кибератака проникла в более чем 150 правительственных агентств, аналитических центров и других организаций. И, по словам Microsoft, это сделали те же люди.
Эта группа, которую Microsoft называет «Nobelium», как полагают, связана с тем же российским правительственным агентством, которое поддержало атаку Solarwinds, хотя Microsoft не очень много рассказала о причинах, по которым они пришли к такому выводу.
Хотя во взломе Solarwinds не было компонента-вымогателя, Microsoft заявила, что по крайней мере 25% целей атак на этой неделе были вовлечены в международное развитие, гуманитарную деятельность и деятельность в области прав человека как минимум в 24 странах. Это говорит о том, что группа больше заинтересована в «усилиях по сбору разведданных», чем в корпоративном саботаже.
«Эти атаки, по-видимому, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках усилий по сбору разведывательной информации», - заявили в компании.
В прошлом месяце правительство США заявило, что SolarWinds является разработкой SVR, российской службы внешней разведки, и заявило, что оно также носило имя APT29, которое, по словам британской разведки, большую часть прошлого года провело взломом иностранных правительств для исследования вакцин, и Cozy Bear , который якобы был причастен к взлому DNC в 2016 году.
Прочтите полное сообщение в блоге Microsoft ниже:
На этой неделе мы наблюдали кибератаки злоумышленника Nobelium, направленные на правительственные учреждения, аналитические центры, консультантов и неправительственные организации. Эта волна атак была нацелена на около 3000 учетных записей электронной почты в более чем 150 различных организациях. В то время как организации в США подвергались наибольшему количеству атак, целевые жертвы охватывают как минимум 24 страны. По крайней мере, четверть целевых организаций были вовлечены в международное развитие, гуманитарную деятельность и деятельность в области прав человека. Nobelium из России - тот же субъект, который стоит за атаками на клиентов SolarWinds в 2020 году. Эти атаки, по всей видимости, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках сбора разведывательной информации.
На этой неделе Nobelium начал атаки, получив доступ к аккаунту Constant Contact USAID. Постоянный контакт - это сервис, используемый для электронного маркетинга. Оттуда актер мог распространять фишинговые электронные письма, которые выглядели аутентичными, но содержали ссылку, при нажатии на которую вставлялся вредоносный файл, используемый для распространения бэкдора, который мы называем NativeZone. Этот бэкдор может обеспечить широкий спектр действий от кражи данных до заражения других компьютеров в сети. Вы можете узнать больше о технических аспектах этих атак в этом сообщении блога Microsoft Threat Intelligence Center (MSTIC).
Многие атаки, нацеленные на наших клиентов, были заблокированы автоматически, и Защитник Windows блокирует вредоносное ПО, задействованное в этой атаке. Мы также находимся в процессе уведомления всех наших клиентов, ставших целью. Мы обнаружили эту атаку и определили жертв благодаря постоянной работе группы MSTIC по отслеживанию субъектов из национальных государств. У нас нет оснований полагать, что эти атаки связаны с использованием каких-либо уязвимостей в продуктах или услугах Microsoft.
Эти атаки примечательны по трем причинам.
Во-первых, в сочетании с атакой на SolarWinds становится ясно, что часть стратегии Nobelium - получить доступ к надежным поставщикам технологий и заразить их клиентов. За счет использования обновлений программного обеспечения и теперь уже массовых поставщиков электронной почты Nobelium увеличивает шансы сопутствующего ущерба в шпионских операциях и подрывает доверие к технологической экосистеме.
Во-вторых, что, возможно, неудивительно, деятельность Nobelium и аналогичных субъектов имеет тенденцию отслеживать проблемы, вызывающие озабоченность страны, из которой они действуют. На этот раз Nobelium нацелился на многие гуманитарные и правозащитные организации. В разгар пандемии Covid-19 российский субъект Strontium нацелился на медицинские организации, занимающиеся вакцинами. В 2019 году Strontium был нацелен на спортивные и антидопинговые организации. И мы ранее раскрывали деятельность Strontium и других субъектов, нацеленных на крупные выборы в США и других странах. Это еще один пример того, как кибератаки стали излюбленным инструментом растущего числа национальных государств для достижения широкого спектра политических целей, с акцентом на этих атаках со стороны Nobelium на правозащитные и гуманитарные организации.
В-третьих, кибератаки национальных государств не замедляются. Нам нужны четкие правила, регулирующие поведение национальных государств в киберпространстве, и четкие ожидания в отношении последствий нарушения этих правил. Мы должны продолжать сплотиться вокруг прогресса, достигнутого Парижским призывом к доверию и безопасности в киберпространстве, и более широко применять рекомендации Технического соглашения по кибербезопасности и Института киберпира. Но нам нужно сделать больше. Microsoft продолжит работать с заинтересованными правительствами и частным сектором для продвижения дела цифрового мира.
ТАЙЛЕР ДЕРДЕН
ПЯТНИЦА, 28 МАЯ 2021 Г. - 08:10
В последние годы хакеры добились серьезных успехов в своей способности обходить защиту корпоративных систем, и это одна из причин, по которой мы видели так много громких инцидентов, в том числе взлом Colonial Pipeline (который еще больше укрепил смелость теневых преступных групп по всему миру после того, как компания заплатила выкуп почти в 5 миллионов долларов). Но пока мир ждет, когда правительство США привлечет к ответственности скрытую группу, известную как Darkside, Microsoft предупредила в своем блоге, опубликованном в пятницу утром, что обнаружила доказательства еще одного масштабного правительственного взлома, который уже осуществляется.
В своем сообщении в блоге, опубликованном в пятницу, вице-президент Microsoft Том Берт сказал, что атака на прошлой неделе (которая все еще продолжается) предоставила доступ примерно к 3000 учетным записям электронной почты в более чем 150 организациях путем проникновения в службу цифрового маркетинга, используемую Агентством международного развития США (USAID) называется «Постоянный контакт».
Хакеры распространяли фишинговые электронные письма, в том числе «специальные оповещения», в которых заявлялось, что бывший президент Трамп опубликовал новые документы о фальсификации выборов, и предлагалось пользователям их просмотреть.
Хакерам, внедрившимся в поставщика программного обеспечения Solarwinds, удалось совершить, по словам Microsoft, одну из худших утечек данных, когда-либо нанесенных правительству США. Теперь эта новая кибератака проникла в более чем 150 правительственных агентств, аналитических центров и других организаций. И, по словам Microsoft, это сделали те же люди.
Эта группа, которую Microsoft называет «Nobelium», как полагают, связана с тем же российским правительственным агентством, которое поддержало атаку Solarwinds, хотя Microsoft не очень много рассказала о причинах, по которым они пришли к такому выводу.
Хотя во взломе Solarwinds не было компонента-вымогателя, Microsoft заявила, что по крайней мере 25% целей атак на этой неделе были вовлечены в международное развитие, гуманитарную деятельность и деятельность в области прав человека как минимум в 24 странах. Это говорит о том, что группа больше заинтересована в «усилиях по сбору разведданных», чем в корпоративном саботаже.
«Эти атаки, по-видимому, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках усилий по сбору разведывательной информации», - заявили в компании.
В прошлом месяце правительство США заявило, что SolarWinds является разработкой SVR, российской службы внешней разведки, и заявило, что оно также носило имя APT29, которое, по словам британской разведки, большую часть прошлого года провело взломом иностранных правительств для исследования вакцин, и Cozy Bear , который якобы был причастен к взлому DNC в 2016 году.
Прочтите полное сообщение в блоге Microsoft ниже:
На этой неделе мы наблюдали кибератаки злоумышленника Nobelium, направленные на правительственные учреждения, аналитические центры, консультантов и неправительственные организации. Эта волна атак была нацелена на около 3000 учетных записей электронной почты в более чем 150 различных организациях. В то время как организации в США подвергались наибольшему количеству атак, целевые жертвы охватывают как минимум 24 страны. По крайней мере, четверть целевых организаций были вовлечены в международное развитие, гуманитарную деятельность и деятельность в области прав человека. Nobelium из России - тот же субъект, который стоит за атаками на клиентов SolarWinds в 2020 году. Эти атаки, по всей видимости, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках сбора разведывательной информации.
На этой неделе Nobelium начал атаки, получив доступ к аккаунту Constant Contact USAID. Постоянный контакт - это сервис, используемый для электронного маркетинга. Оттуда актер мог распространять фишинговые электронные письма, которые выглядели аутентичными, но содержали ссылку, при нажатии на которую вставлялся вредоносный файл, используемый для распространения бэкдора, который мы называем NativeZone. Этот бэкдор может обеспечить широкий спектр действий от кражи данных до заражения других компьютеров в сети. Вы можете узнать больше о технических аспектах этих атак в этом сообщении блога Microsoft Threat Intelligence Center (MSTIC).
Многие атаки, нацеленные на наших клиентов, были заблокированы автоматически, и Защитник Windows блокирует вредоносное ПО, задействованное в этой атаке. Мы также находимся в процессе уведомления всех наших клиентов, ставших целью. Мы обнаружили эту атаку и определили жертв благодаря постоянной работе группы MSTIC по отслеживанию субъектов из национальных государств. У нас нет оснований полагать, что эти атаки связаны с использованием каких-либо уязвимостей в продуктах или услугах Microsoft.
Эти атаки примечательны по трем причинам.
Во-первых, в сочетании с атакой на SolarWinds становится ясно, что часть стратегии Nobelium - получить доступ к надежным поставщикам технологий и заразить их клиентов. За счет использования обновлений программного обеспечения и теперь уже массовых поставщиков электронной почты Nobelium увеличивает шансы сопутствующего ущерба в шпионских операциях и подрывает доверие к технологической экосистеме.
Во-вторых, что, возможно, неудивительно, деятельность Nobelium и аналогичных субъектов имеет тенденцию отслеживать проблемы, вызывающие озабоченность страны, из которой они действуют. На этот раз Nobelium нацелился на многие гуманитарные и правозащитные организации. В разгар пандемии Covid-19 российский субъект Strontium нацелился на медицинские организации, занимающиеся вакцинами. В 2019 году Strontium был нацелен на спортивные и антидопинговые организации. И мы ранее раскрывали деятельность Strontium и других субъектов, нацеленных на крупные выборы в США и других странах. Это еще один пример того, как кибератаки стали излюбленным инструментом растущего числа национальных государств для достижения широкого спектра политических целей, с акцентом на этих атаках со стороны Nobelium на правозащитные и гуманитарные организации.
В-третьих, кибератаки национальных государств не замедляются. Нам нужны четкие правила, регулирующие поведение национальных государств в киберпространстве, и четкие ожидания в отношении последствий нарушения этих правил. Мы должны продолжать сплотиться вокруг прогресса, достигнутого Парижским призывом к доверию и безопасности в киберпространстве, и более широко применять рекомендации Технического соглашения по кибербезопасности и Института киберпира. Но нам нужно сделать больше. Microsoft продолжит работать с заинтересованными правительствами и частным сектором для продвижения дела цифрового мира.
ОТВЕТЫ (0)
Комментарии не найдены!