С мая корпорация уведомила о риске взлома более 140 реселлеров IT-оборудования. Данные 14 из них уже скомпрометированы, сообщила компания.
Вице-президент Microsoft по безопасности клиентов Том Берт рассказал, что хакерская группа Nobelium пытается взломать продавцов и провайдеров IT-сервисов.
Компания считает, что в группу Nobelium входят российские хакеры, действующие в интересах российской службы внешней разведки.
Nobelium стоит за прошлогодней атакой на американского IT-разработчика SolarWinds, по мнению топ-менеджера Microsoft. По его словам, в новой атаке хакеры будут использовать тот же подход.
«Мы считаем, что Nobelium в конечном счете надеется использовать любой прямой доступ, который могут иметь реселлеры к IT-системам своих клиентов, и выдать себя за надежного технологического партнера организации, чтобы получить доступ к его нижестоящим клиентам», — написал Берт.
Корпорация наблюдает за атакой с мая и уже уведомила более 140 реселлеров входящих в глобальную цепочку IT-поставок. Microsoft обнаружила, что как минимум 14 из них уже взломаны.
«В период с 1 июля по 19 октября этого года мы проинформировали 609 клиентов о том, что Nobelium атаковал их 22 868 раз с низким показателем успеха. Для сравнения, до 1 июля 2021 года мы уведомляли клиентов об атаках со стороны всех субъектов 20 500 раз за последние три года», — говорится в сообщении компании.
Основными способами, которыми пользовались злоумышленники, по мнению корпорации, были распыление паролей и фишинг. Microsoft выяснила, что хакер связывает части системы и доступ между четырьмя различными поставщиками.
Пример предположительного вторжения NOBELIUM, демонстрирующий вложенный доступ с использованием различных методов. Источник: Microsoft.
Деятельность хакерской группы «часто наблюдается при проведении мероприятий по сбору разведданных», отметила компания.
Корпорация также представила список рекомендуемых мер для обеспечения безопасности систем. В частности, Microsoft посоветовала удалить неиспользуемые учетные записи и сценарии, а также воспользоваться инструментами компании для идентификации атак.
Напомним, в прошлом году неизвестные хакеры атаковали системы министерств финансов и торговли США. Эксперты ФБР предполагают, что за атакой стоят хакеры из группировки Cozy Bear. Власти США считают, что группировка связана с ФСБ и органами внешней разведки России, однако прямых доказательств этому нет.
В мае 2021 года хакеры из группировки DarkSide атаковали крупнейший в США топливопровод Colonial Pipeline. Регуляторы США смогли вернуть большую часть выкупа в криптовалюте, который представители трубопроводной компании Colonial Pipeline были вынуждены заплатить хакерам.
Читайте также: США приписывают Китаю «вредоносную киберактивность и дестабилизирующее поведение».
