SAN FRANCISCO, 2. srpna (Reuters) – Hackerská skupina napojená na ruskou vládu se zaměřila na desítky globálních organizací kampaní za krádež přihlašovacích údajů tím, že zapojí uživatele do chatů Microsoft Teams, kteří předstírají, že jsou z technické podpory, uvedli ve středu výzkumníci společnosti Microsoft.
Tyto „vysoce cílené“ útoky sociálního inženýrství zasáhly od konce května „méně než 40 unikátních globálních organizací“, uvedli výzkumníci Microsoftu na blogu a dodali, že společnost věc vyšetřuje.
Ruská ambasáda ve Washingtonu okamžitě neodpověděla na žádost o komentář.
Hackeři vytvořili domény a účty, které vypadaly jako technická podpora, a pokusili se zapojit uživatele Teams do chatů a přimět je, aby schválili výzvy k vícefaktorové autentizaci (MFA), uvedli výzkumníci.
“Microsoft zmírnil aktéra v používání domén a pokračuje ve vyšetřování této aktivity a pracuje na nápravě dopadu útoku,” dodali.
Teams je proprietární platforma pro obchodní komunikaci společnosti Microsoft s více než 280 miliony aktivních uživatelů, podle lednového finančního výkazu společnosti.
MFA jsou široce doporučovaným bezpečnostním opatřením, jehož cílem je zabránit hackování nebo krádeži přihlašovacích údajů. Zacílení Teams naznačuje, že hackeři hledají nové způsoby, jak to překonat.
Hackerská skupina za touto aktivitou, známá v oboru jako Midnight Blizzard nebo APT29, sídlí v Rusku a vlády Spojeného království a USA ji spojily se zahraniční zpravodajskou službou země, uvedli výzkumníci.
“Organizace, na které se tato aktivita zaměřuje, pravděpodobně naznačují konkrétní špionážní cíle Midnight Blizzard zaměřené na vládu, nevládní organizace (NGO), IT služby, technologie, diskrétní výrobu a mediální sektory,” uvedli, aniž by jmenovali některý z cílů.
„Tento poslední útok v kombinaci s minulou aktivitou dále demonstruje pokračující provádění cílů Midnight Blizzard pomocí nových i běžných technik,“ napsali vědci.
Je známo, že Midnight Blizzard se zaměřuje na takové organizace, zejména v USA a Evropě, od roku 2018, dodali.
Hackeři použili již kompromitované účty Microsoft 365 vlastněné malými podniky k vytvoření nových domén, které vypadaly jako entity technické podpory a měly v sobě slovo „microsoft“, podle podrobností na blogu Microsoftu. Účty spojené s těmito doménami pak posílaly phishingové zprávy na návnadu lidem prostřednictvím Teams, uvedli výzkumníci.
Reportáž Zeby Siddiqui v San Franciscu; Střih Gerry Doyle
Naše standardy: Thomson Reuters Trust Principles.