Kolejne kłopoty wizerunkowe Microsoftu. Rosyjscy hakerzy sponsorowani przez państwo, w zakrojonej na szeroką skalę akcji, udawali pracowników pomocy technicznej Microsoft Teams, by wykradać poufne informacje.

Jak informuje serwis TechCrunch, specjaliści od bezpieczeństwa firmy Microsoft poinformowali wczoraj, że „wysoce ukierunkowana” kampania socjotechniczna została przeprowadzona przez rosyjską grupę hakerską sponsorowaną przez państwo. Odpowiedzialna za ataki grupa, nazywana przez Microsoft jako „Midnight Blizzard”, jest znana także jako APT29 lub Cozy Bear. Według amerykańskich i brytyjskich organów to właśnie ta organizacja była powiązana z atakiem SolarWinds w 2020 roku. Atak, uznawany za największy i najbardziej wyrafinowany atak w historii, wykorzystał lukę w oprogramowaniu SolarWinds Orion i zagroził dziewięciu agencjom federalnym oraz blisko 100 firmom, w tym wielu z sektora technologicznego. Zdaniem Microsoftu grupa jest częścią rosyjskiej Służby Wywiadu Zagranicznego (SVR).

Ataki na użytkowników Microsoft Teams

teams wiadomosc
Zrzut ekranu żądania z konta kontrolowanego przez Midnight Blizzard

W atakach, które rozpoczęły się pod koniec maja, hakerzy wykorzystywali wcześniej przejęte konta Microsoft 365 do tworzenia nowych domen związanych z pomocą techniczną. Korzystając z nich, członkowie grupy wysyłali wiadomości poprzez platformę Microsoft Teams, które miały na celu zmanipulowanie użytkowników do udzielenia zgody na monity uwierzytelniania wieloskładnikowego, a ostatecznym celem było uzyskanie dostępu do kont użytkowników i eksfiltracja poufnych informacji. Ekstrakcja danych to nieautoryzowane kopiowanie, przesyłanie lub pobieranie danych z komputera, lub serwera.

Dochodzenie Microsoftu w sprawie ataku wskazuje, że ponad 30 globalnych organizacji było celem ataku, w tym agencje rządowe, organizacje pozarządowe, a także firmy z takich branż jak usługi IT, technologia, produkcja i media. Organizacje będące celem ataku nie zostały wymienione, ale, jak twierdzi Microsoft, wskazują na konkretne cele szpiegowskie rosyjskich hakerów. Amerykańska firma poinformowała, że uniemożliwiła grupie hakerskiej korzystanie z domen i kontynuuje badanie tej działalności.

Jak chronić się przed atakami socjotechnicznymi?

Atak socjotechniczny to rodzaj ataku hakerskiego, w którym cyberprzestępca wykorzystuje ludzkie słabości, takie jak naiwność, nieostrożność lub brak wiedzy, aby uzyskać dostęp do poufnych informacji lub danych. Ataki socjotechniczne mogą być przeprowadzane za pośrednictwem różnych kanałów, takich jak poczta e-mail, media społecznościowe, rozmowy telefoniczne lub bezpośredni kontakt. Oto kilka wskazówek, jak chronić się przed atakami socjotechnicznymi:

  • Bądź ostrożny w kwestii informacji, które udostępniasz online;
  • Sprawdzaj dokładnie adresy stron www, na które jesteś kierowany i adresy email Twoich rozmówców (zwracaj uwagę na możliwe literówki w domenach);
  • Nie klikaj odnośników ani nie otwieraj załączników w wiadomościach e-mail od nieznanych nadawców (nawet jeśli podaje się za pracownika zaufanej firmy);
  • Używaj silnego hasła i włącz uwierzytelnianie wieloskładnikowe;
  • Nigdy nie przekazuj osobom trzecim hasła ani kodów do uwierzytelniania wieloskładnikowego;
  • Regularnie aktualizuj oprogramowanie na swoich urządzeniach;
  • Bądź świadomy zagrożeń, związanych z inżynierią społeczną i podejmuj kroki, aby się przed nimi chronić.

Hakerzy atakują segment usług publicznych

Wiadomość o atakach powiązanych z Rosją hakerów pojawia się kilka tygodni po tym, jak chińscy hakerzy wykorzystali lukę w usłudze poczty e-mail w chmurze Microsoftu, aby uzyskać dostęp do kont e-mail pracowników rządu USA. Microsoft nie ma więc łatwego czasu, a wszystkim Wam przypominam o ostrożności, zwłaszcza gdy tuż za granicami naszego kraju trwa wojna.