Microsoft сообщила о кибератаках злоумышленников из Nobelium, которые были направлены на правительственные учреждения, аналитические центры, консультантов и неправительственные организации. Эта волна атак была нацелена на около 3000 учетных записей электронной почты в более чем 150 различных организациях из 24 стран.
В то время как организации в США подверглись наибольшему количеству атак, жертвами атаки стали как минимум 24 страны. По крайней мере, четверть целевых организаций были вовлечены в международное развитие, гуманитарную деятельность и правозащитную деятельность. Nobelium из России - тот же субъект, который стоит за атаками на клиентов SolarWinds в 2020 году. Эти атаки, по всей видимости, являются продолжением многочисленных усилий Nobelium по нацеливанию на правительственные учреждения, участвующие во внешней политике, в рамках сбора разведывательной информации.
На этой неделе Nobelium начал атаки, получив доступ к аккаунту Constant Contact USAID. Constant Contact - это сервис, используемый для электронного маркетинга. Оттуда злоумышленник распространял фишинговые электронные письма, которые выглядели подлинными, но содержали ссылку, которая при нажатии загружала вредоносный файл, используемый для доставки бэкдора NativeZone. Этот бэкдор может обеспечить широкий спектр действий от кражи данных до заражения других компьютеров в сети. Вы можете узнать больше о технических аспектах этих атак в этом сообщении в блоге Microsoft Threat Intelligence Center (MSTIC).
Многие атаки, нацеленные на наших клиентов, были заблокированы автоматически, и Защитник Windows блокирует вредоносное ПО, задействованное в этой атаке. Мы также находимся в процессе уведомления всех наших клиентов, ставших целью. Мы обнаружили эту атаку и определили жертв благодаря постоянной работе группы MSTIC по отслеживанию субъектов из национальных государств. У нас нет оснований полагать, что эти атаки связаны с использованием каких-либо уязвимостей в продуктах или услугах Microsoft.
Эти атаки примечательны по трем причинам.
Во-первых, в сочетании с атакой на SolarWinds становится ясно, что часть стратегии Nobelium - получить доступ к надежным поставщикам технологий и заразить их клиентов. За счет использования обновлений программного обеспечения и теперь уже массовых поставщиков электронной почты Nobelium увеличивает вероятность сопутствующего ущерба в шпионских операциях и подрывает доверие к технологической экосистеме.
Во-вторых, что, возможно, неудивительно, деятельность Nobelium и аналогичных субъектов имеет тенденцию отслеживать проблемы, вызывающие озабоченность страны, из которой они действуют. На этот раз Nobelium нацелился на многие гуманитарные и правозащитные организации. В разгар пандемии Covid-19 российский субъект Strontium нацелился на медицинские организации, занимающиеся вакцинами. В 2019 году Strontium был нацелен на спортивные и антидопинговые организации. И мы ранее раскрывали активность Strontium и других субъектов, нацеленных на выборы в США и других странах. Это еще один пример того, как кибератаки стали предпочтительным инструментом для растущего числа национальных государств для достижения широкого спектра политических целей.
В-третьих, кибератаки национальных государств не замедляются. Нам нужны четкие правила, регулирующие поведение национальных государств в киберпространстве, и четкие ожидания в отношении последствий нарушения этих правил. Мы должны сплотиться вокруг прогресса, достигнутого Парижским призывом к доверию и безопасности в киберпространстве, и более широко применять рекомендации Технического соглашения по кибербезопасности и The CyberPeace Institute. Но нам нужно сделать больше. Microsoft продолжит работать с заинтересованными правительствами и частным сектором для продвижения дела цифрового мира.
По информации Тома Берта, корпоративного вице-президента по безопасности и доверию клиентов