Hakerska skupina povezana s ruskom vladom pokušala je ukrasti podatke za prijavu desetak globalnih organizacija kroz Microsoftovu aplikaciju Teams pretvarajući se da su iz tehničke podrške, priopćila je u srijedu ta američka tvrtka.
Ovi "vrlo ciljani" napadi za metu su imali "manje od 40 jedinstvenih globalnih organizacija," od kraja svibnja, napisali su Microsoftovi istražitelji u objavi na blogu te tvrtke, dodavši kako istraga još traje.
Rusko veleposlanstvo u Washingtonu nije odgovorilo na Reutersov upit o tome.
Hakeri su postavili domene i korisničke račune koji su izgledali kao da su tehnička podrška za Teams i zatim pokušali uključiti korisnike Teamsa u chat razgovore i navesti ih da odobre multifaktorsku autentifikaciju (MFA).
"Microsoft je spriječio korištenja tih domena, i nastavlja istraživati ovu aktivnost i raditi na otklanjanju posljedica napada," dodali su.
Teams je platforma u vlasništvu Microsofta za poslovnu komunikaciju, koju koristi više od 280 milijuna aktivnih korisnika, navodi se u financijskom izvještaju te tvrtke iz siječnja.
Multifaktorska autentikacija je široko preporučena sigurnosna mjera koja sprečava hakiranja ili krađe vjerodajnica. Ciljanje platforme Teams upućuje na zaključak da su hakeri našli nove načine da probiju njenu zaštitu.
Hakerska skupina koja stoji iza ovih napada, poznata u industriji kao Midnight Blizzard ili APT29, bazirana je u Rusiji, a vlade Velike Britanije i SAD-a kažu da je povezana s ruskom inozemnom obavještajnom službom.
"Organizacije koje su meta ovih aktivnosti vjerojatno ukazuju na konkretne ciljeve špijunaže skupine Midnight Blizzard usmjerene na vladu, nevladine organizacije, IT službe, tehnologiju, proizvodnju, i medijske sektore," rekli su iz Microsofta, no nisu imenovali nijedan od pogođenih ciljeva.
"Ovaj posljednji napad, u kombinaciji s proteklim aktivnostima, dodatno pokazuje da Midnight Blizzard i dalje provodi svoje ciljeva koristeći i nove i stare tehnike."
Poznato je da je ta skupina već napadala takve organizacije, uglavnom u SAD-u i Europi, od 2018. godine naovamo.
Hakeri su koristili već kompromitirane korisničke račune iz sustava Microsoft 365 u vlasništvu malih tvrtki za stvaranje novih domena za koje se na prvi pogled čini da su odjeli za tehničku podršku, s nazivima koji u sebi imaju riječ "Microsoft." Potom su s korisničkih računa vezanih za te domene slali poruke kako bi namamili druge korisnike u Teams, kažu istraživači.