Rosyjski wywiad przeprowadził operację wykorzystując w tym celu Microsoft Teams. Pracujący dla Rosji hakerzy podszywali się podczas działań pod obsługę techniczną platformy.
Zespół Microsoft Threat Intelligence zauważył ukierunkowane ataki socjotechniczne wykorzystujące Microsoft Teams. W ich trakcie sprawcy poprzez phishing wykradali dane uwierzytelniające. Specjaliści Microsoft jako odpowiedzialnych za te działania wskazują hakerów grupy NOBELIUM, znanej też jako Cozy Bear lub APT29. Jest to grupa powiązana z rosyjskimi służbami wywiadu, która prowadziła już wcześniej operacje szpiegowskie na rzecz Rosji.
Jak przebiegał atak?
Hakerzy odpowiedzialni za atak podszywali się obsługę techniczną Microsoft Teams i w ten sposób rozsyłali wiadomości phishingowe do ofiar. Dostawały one informację o próbie nawiązania kontaktu z zewnątrz. Gdy ją zaakceptowały, dostawały kolejną wiadomość tym razem przekonująco do wprowadzenia określonego kodu do aplikacji Microsoft Authenticator na urządzeniu mobilnym
Dzięki temu sprawcy otrzymywali dostęp do konta Microsoft 365 danej osoby. Mogli wykraśćkomplet jej danych i informacji.
Kogo atakują hakerzy?
Celem ataków było prawie 40 organizacji. Zostały wytypowane jako posiadające wartość wywiadowczą dla powiązanych z Rosją hakerów. Znalazły się wśród nich agencje rządowe i firmy z branży technologicznej
Microsoft wykrył działanie hakerów i zablokował całą kampanię. Poinformował o zdarzeniu narażone na atak podmiotu. Firma bada również aktywność hakerów w swoich programach.
NOBELIUM (Cozy Bear lub APT29) w trakcie swoich działań realizuje zadania Służby Wywiadu Zagranicznego na zlecenie Rosji. Prawdopodobnie stoi za kampanią SolarWinds. Hakerzy atakują podmioty państwowe krajów NATO i UE.
Źródło: cyberdefence24.pl
