По данным Microsoft, хакеры, стоящие за одной из самых серьезных утечек данных, когда-либо случавшихся с правительством США, провели новую глобальную кибератаку на более чем 150 правительственных агентств, аналитических центров и других организаций.
Группа, которую Microsoft называет Nobelium, на этой неделе атаковала 3 тыс. учетных записей электронной почты в различных организациях, большинство из которых находятся в Соединенных Штатах, — сообщила компания в своем блоге.
Она считает, что хакеры являются частью той же связанной с Россией группы, которая в прошлом году организовала разрушительную атаку на поставщика программного обеспечения SolarWinds.
Microsoft сообщает, что по крайней мере четверть целей новых атак были вовлечены в международное развитие, а также гуманитарную и правозащитную деятельность как минимум в 24 странах. Предположительно, Nobelium начал атаку, получив доступ к учетной записи электронной почты Constant Contact, используемой Агентством США по международному развитию (USAID).
«Эти [действия], по-видимому, являются продолжением многочисленных усилий Nobelium по атакам на правительственные учреждения, занимающиеся внешней политикой, в рамках усилий по сбору разведывательной информации», — заявили в компании.
The campaign, initially observed and tracked by Microsoft since January 2021, evolved over a series of waves, demonstrating experimentation. On May 25, the campaign escalated as it leveraged a legitimate mailing service to masquerade as a U.S.-based development organization.
— Microsoft Security Intelligence (@MsftSecIntel) May 28, 2021
Получив доступ к аккаунту USAID, хакеры получили возможность рассылать фишинговые электронные письма. По словам Microsoft, они «выглядели аутентичными, но содержали ссылку, при нажатии на которую передавался вредоносный файл», что позволяло хакерам получать доступ к компьютерам через бэкдор.
«Этот бэкдор может обеспечить широкий спектр действий от кражи данных до заражения других компьютеров в сети», — подчеркнули в Microsoft.
Microsoft заявляет, что многие атаки были заблокированы автоматически. Компания также уведомляет о случившемся клиентов, ставших целью, и добавила, что у нее «нет оснований полагать», что атаки связаны с «уязвимостью в продуктах или услугах Microsoft».