Хакери, пов'язані зі спецслужбами РФ, стоять за десятками фішингових атак на Microsoft Teams

Група хакерів, пов'язаних з російськими спецслужбами, атакувала десятки організацій у всьому світі в межах кампанії з крадіжки облікових даних із чатів Microsoft Teams, видаючи себе за співробітників служби технічної підтримки.

Про це заявили дослідники компанії Microsoft, на яких посилається Reuters, передає проєкт Радіо Свобода "Крим.Реалії".

Дослідники Microsoft повідомили у своєму блозі, що з кінця травня "цілеспрямовані" атаки зачепили "щонайменше 40 унікальних глобальних організацій", додавши, що компанія проводить розслідування.

"Перелік організацій, що зазнали атаки, ймовірно, вказує на конкретні цілі шпигунства Midnight Blizzard – уряди, неурядові організації (НУО), ІТ-послуги, технології, дискретне виробництво та медіасектор", – сказали вони.

Посольство Росії у Вашингтоні не одразу відповіло на запит про коментар.

За словами дослідників, хакери створили домени та облікові записи, які мали вигляд повідомлень та сторінок служби підтримки, і намагалися заманити користувачів Teams у чати та змусити їх схвалювати запити багатофакторної автентифікації (MFA).

Згідно з фінансовим звітом компанії за січень, Teams – це запатентована платформа Microsoft для ділових комунікацій з більш ніж 280 мільйонами активних користувачів.

MFA – захід безпеки, що широко рекомендується, спрямований на запобігання зламу або крадіжці облікових даних. Атака на Teams показує, що хакери знаходять нові способи обходу багатофакторної автентифікації.

Хакерська група, що стоїть за цією діяльністю, відома в галузі як Midnight Blizzard або APT29, базується в Росії, і уряди Великобританії та США пов'язують її зі службою зовнішньої розвідки РФ.

"Ця остання атака в поєднанні з минулими діями ще раз демонструє прагнення Midnight Blizzard до досягнення своїх цілей з використанням нових та традиційних методів", – пишуть дослідники.

Згідно з подробицями в блозі Microsoft, хакери використовували вже скомпрометовані облікові записи Microsoft 365, що належать малим підприємствам, для створення нових доменів, які мали вигляд організацій технічної підтримки та містили слово Microsoft. Облікові записи, пов'язані з цими доменами, розсилали фішингові повідомлення, щоб заманити людей Teams.

Як повідомляв ІМІ, українські хакери “привітали” російських військових моряків з днем ВМС РФ, запустивши на телефони “троянську” програму, що знімає з них інформацію та переспрямовує її на українські сервери.