Microsoft: российские государственные хакеры стоят за 53% атак на правительственные агентства США

22
FIN7 пытается обманом заставить пентестеров запустить атаки программ-вымогателей

Microsoft заявляет, что спонсируемые Россией хакерские группы все чаще нацелены на правительственные учреждения США, причем примерно 58% всех атак на национальные государства, зафиксированные Microsoft в период с июля 2020 года по июнь 2021 года, приходятся на Россию.

«Российские национальные государства все чаще нацелены на правительственные агентства для сбора разведывательной информации, которая выросла с 3% от их целей год назад до 53% — в основном это агентства, занимающиеся внешней политикой, национальной безопасностью или обороной», — сказал Том Берт, корпоративный вице-президент Microsoft. Президент по безопасности и доверию клиентов.

«И атаки со стороны субъектов российского национального государства становятся все более эффективными, с 21% успешных компромиссов в прошлом году до 32% в этом году».

Нобелиум — самая активная хакерская группа России

Самым активным действующим лицом, поддерживаемым Россией, является группа, которую Microsoft отслеживает как Nobelium. Эта группа вывела Россию на первое место в списке стран, виновных в кибератаках, благодаря ее агрессивным целям в отношении западных государственных структур и поставщиков ИТ-услуг, начиная с июля 2020 года.

В целом, Nobelium координировал атаки за 92% уведомлений, которые Microsoft отправляла своим клиентам об активности угроз в России с июля 2020 года по июнь 2021 года.

Деятельность этой хакерской группы отражает заинтересованность России в получении доступа и сборе разведывательной информации о проведении операций по сбоям с помощью атак на критически важную инфраструктуру.

Как далее пояснила Microsoft, это лишь частичный обзор попыток взлома со стороны субъектов национального государства — клиенты Microsoft получили 20 500 уведомлений о таких атаках. Компания по-прежнему имеет ограниченное представление об атаках, нацеленных на локальные системы или системы, которыми управляют другие поставщики технологий.

«За последний год базирующиеся в России группы деятельности укрепили свою позицию в качестве серьезной угрозы для глобальной цифровой экосистемы, продемонстрировав адаптируемость, настойчивость, готовность использовать надежные технические отношения, а также возможность анонимности и инструментов с открытым исходным кодом, которые делают их становится все труднее обнаруживать и атрибутировать «, — добавил Берт.

«Они также продемонстрировали высокую терпимость к сопутствующему ущербу, в результате чего любой, кто связан с интересующими целями, становится уязвимым для оппортунистических атак».

Согласно отчету Microsoft, хакерские группы, поддерживаемые российским государством, нацелены на широкий круг организаций по всему миру:

  • NOBELIUM (также известный как UNC2452) атаковал правительства, дипломатические и оборонные структуры, программное обеспечение и услуги ИТ, телекоммуникации, аналитические центры, НПО, подрядчиков в сфере обороны.
  • STRONTIUM (APT28, Fancy Bear) нацелился на правительства, дипломатические и оборонные структуры, аналитические центры, НПО, высшее образование, оборонных подрядчиков, ИТ-программное обеспечение и услуги.
  • BROMINE (также известный как Energetic Bear) попытался взломать правительства, энергетику, гражданскую авиацию, предприятия оборонной промышленности.

В этот четверг директор по разработке программного обеспечения Google Threat Analysis Group (TAG) Шейн Хантли также сообщил, что  в этом месяце Google предупредил 14000 своих пользователей о том, что они стали объектом спонсируемой государством фишинг-кампании со стороны APT28 (STRONTIUM).

В заявлении, отправленном BleepingComputer, Хантли добавил, что на эту фишинговую кампанию APT28 пришлось примерно 86% всех пакетных предупреждений, отправленных Google в октябре.

Кто такой Нобелиум?

Nobelium , который считается хакерским подразделением Службы внешней разведки России (СВР), также обозначается как APT29, The Dukes или Cozy Bear.

В апреле 2021 года правительство США официально обвинило это подразделение СВР в координации «широкомасштабной кампании кибершпионажа» SolarWinds, которая привела к компрометации нескольких федеральных агентств США.

Фирма по кибербезопасности Volexity также связала операторов той же хакерской группы с атаками SolarWinds, заметив, что они повторно использовали тактику из предыдущих инцидентов еще в 2018 году.

В марте исследователи Microsoft выявили три штамма вредоносных программ Nobelium, используемых для обеспечения устойчивости к скомпрометированным системам: бэкдор для управления и контроля GoldMax, инструмент HTTP-трассировщика GoldFinder, а также инструмент сохранения и удаления вредоносных программ Sibot.

Два месяца спустя они подробно описали еще четыре семейства вредоносных программ Nobelium: загрузчик вредоносных программ BoomBox, загрузчик и средство запуска шеллкода VaporRage, вредоносное HTML-вложение EnvyScout и загрузчик, который они назвали NativeZone.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here