Центр аналитики угроз Microsoft отслеживает новые действия злоумышленника NOBELIUM. Их расследование используемых методов и тактик продолжается, но они еще не видели спрей паролей и атаки методом перебора и хотят поделиться некоторыми подробностями, чтобы помочь их клиентам и сообществам защитить себя.
Эта недавняя деятельность была в основном неудачной, и большинство целей не были успешно скомпрометированы - на сегодняшний день им известно о трех скомпрометированных объектах. Со всеми клиентами, которые были скомпрометированы или нацелены, связываются с помощью их процесса уведомления национального государства.
Этот тип деятельности не нов, и они по-прежнему рекомендуют всем принимать меры безопасности, такие как включение многофакторной аутентификации для защиты своей среды от этой и подобных атак. Эта деятельность была нацелена на конкретных клиентов, в первую очередь ИТ-компании (57%), затем правительство (20%) и меньший процент для неправительственных организаций и аналитических центров, а также финансовых услуг. Деятельность была в основном сосредоточена на интересах США, около 45%, за которыми следовали 10% в Великобритании и меньшие числа из Германии и Канады. Всего было выбрано 36 стран.
В рамках этого расследования этой продолжающейся деятельности они также обнаружили вредоносное ПО для кражи информации на машине, принадлежащей одному из агентов поддержки клиентов, имеющей доступ к базовой информации учетной записи для небольшого числа их клиентов. В некоторых случаях субъект использовал эту информацию для запуска целенаправленных атак в рамках своей более широкой кампании. Они быстро отреагировали, закрыли доступ и обезопасили устройство. Расследование продолжается, но они могут подтвердить, что их агенты поддержки настроены с минимальным набором разрешений, необходимых в рамках нашего подхода с нулевым доверием «наименее привилегированный доступ» к информации о клиентах. Они уведомляют всех затронутых клиентов и поддерживают их, чтобы их учетные записи оставались безопасными.
Это действие подчеркивает важность передовых мер безопасности, таких как архитектура с нулевым доверием и многофакторная аутентификация, и их важность для всех.
В мае Microsoft уже обвиняла хакеров из Nobelium в атаке на 150 различных госведомств, аналитических институтов и неправительственных организаций в США и еще более чем в 20 странах мира. В компании хакеров из Nobelium связывают с Россией и считают, что эта группа стояла за взломом компании SolarWinds в 2020 году.