Хакерская группа Nobelium, стоявшая, по всей вероятности, за крупнейшей серией кибератак SolarWinds и взломом американского агентства помощи USAid, проводит новую масштабную операцию, заявили эксперты по кибербезопасности корпорации Microsoft. Они утверждают, что связанная с СВР группа Nobelium пытается атаковать глобальные цепочки провайдеров IT-сектора.
В заявлении, сделанном Microsoft в понедельник, говорится, что Nobelium провела с июля по октябрь почти 23 тыс. кибератак.
Компания указывает, что американские власти и другие эксперты установили, что эта группа является частью российской Службы внешней разведки (СВР).
Российские власти отвергают подобные обвинения.
«Это та же самая сила, которая стояла за кибератаками против клиентов SolarWinds в 2020 году», — отмечает Microsoft. Компания подчеркивает, что относится к происходящему как к действиям государства (nation-state activity) в цифровом секторе.
Целями хакеров были компании интернет-инфраструктуры: облачные провайдеры, компании удаленного управления и другие подобные организации.
«На этот раз они нацелились на другую часть цепочки поставок — перепродавцы хостинга и другие поставщики технологических услуг, которые создают и распоряжаются облачными и другими подобными сервисами от имени своих клиентов», — пишет вице-президент компании Том Берт.
Как сообщает Microsoft, хакеры пытаются эксплуатировать доверие в технической сфере к провайдерам со стороны правительственных организаций, исследовательских институтов и других организаций, которые эти провайдеры обслуживают.
Основным методом хакеров пока был фишинг — рассылка писем, часто со ссылками, ведущими на подложные сайты, с целью обманом выманить у сотрудников организаций их логины и пароли.
Кроме того хакеры перебирают популярные пароли, вроде Password1 и 1234, говорят в Microsoft. Пока в корпорации зафиксировали атаки в отношении 140 компаний, 14 их этих атак Microsoft считает успешными.
Что еще сделала группа Nobelium
Название группировки связывают с крупнейшей атакой, которую называют атакой Sunburst или Solarwinds. Она стала самой длительной и масштабной в истории США. Больше всего пострадало американское правительство, которое, скорее всего, и было главной мишенью.
- США вводят против России новые санкции за кибератаку SolarWinds
- Sunburst: почему это опаснейшая кибератака в истории и при чем здесь Россия
Хакеры тогда вскрыли компьютерные сети многих американских организаций, в том числе казначейства, министерства торговли и министерства национальной безопасности.
Злоумышленникам удалось проникнуть в компьютерные системы через широко используемые на корпоративном уровне программные продукты разработчика SolarWinds.
О взломе SolarWinds в правительстве США стало известно спустя девять месяцев после кибератаки — ее обнаружили сторонние коммерческие специалисты по кибербезопасности.
Тогдашний глава Госдепа США Майк Помпео обвинил во взломе Россию. Президент Дональд Трамп в этом усомнился.
В мае нынешнего года группировку (и Россию) связали со взломом Агентства по международному развитию США (USAID). Хакеры разослали от имени агентства электронные письма более чем на 3000 учетных записей в более чем 150 организациях.
В письма был встроен код, который открывал хакерам неограниченный доступ к компьютерным системам получателей, от кражи данных до заражения других компьютеров в сети, прокомментировал тогда атаку Том Берт из Microsoft.