user100
29.05.2021, 16:21
Сообщение о взломе рассылки USAID
Новую главу в истории про российских хакеров открыло вчерашнее заявление (https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/) Microsoft. Специалисты компании обнаружили, что группировка Nobelium, действующая из России (и, по их мнению, та же, что стояла за атакой на SolarWinds) смогла получить доступ к аккаунту USAID в сервисе рассылок Constant Contact и благодаря этому на этой неделе разослала фишинговые письма, содержащие вредонос, на 3000 адресов. USAID — это агентство США по международному развитию, подведомственное Госдепартаменту. Имейлы, согласно Microsoft, были направлены в 150 организаций в 24 странах, но в основном в США. Круг целей: государственные органы, исследовательские центры, консультанты, НКО. Ещё в одном посте техническая команда Microsoft Threat Intelligence Center рассказывает (https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/) подробности об атаке и предыдущей деятельности Nobelium.
В посте Microsoft новая атака сравнивается с атакой на SolarWinds на том основании, что в обоих случаях атакующие действовали через пользующуюся доверием компанию, чтобы заразить её клиентов. Идея понятна, но как я понял, в данном случае речь идёт о взломе аккаунта на стороннем сервисе и рассылке с него писем, что технически очень далеко от атаки на SolarWinds.
О новости написали ведущие СМИ. NYT сообщает (https://www.nytimes.com/2021/05/28/us/politics/russia-hack-usaid.html) ряд подробностей. Во-первых, CISA уже в курсе ситуации и работает с ФБР и USAID. USAID и Constant Contact комментариев не дали. Microsoft считает, что фишинговая кампания продолжается. NYT также опубликовала пример письма, и оно довольно странное. Злоумышленники зачем-то рассылают 25 мая 2021 года сообщение о том, что «Дональд Трамп опубликовал новые документы о фальсификации выборов». Учитывая специфику работы USAID и то, что Трамп уже почти полгода как не президент, это какая-то максимально неубедительная попытка фишинга.
Ещё несколько вещей в NYT явно додумали. В статье приводится цитата из поста Microsoft, что по крайней мере четверть организаций-целей работают в сфере международного развития, гуманитарной деятельности, защиты прав человека. Из этого Дэвид Сэнгер и Николь Перлрот делают вывод: такие организации во многих случаях являются наиболее жёсткими критиками Путина. Конечно, больше никаких аргументов в пользу этой гипотезы нет. Очевидно, что большинство контактов USAID — это организации занимающиеся подобной деятельностью, и далеко не все из них вообще высказываются по России.
Также упрощённо выглядит общая картина, которую рисуют авторы. Центральная мысль статьи такая: Россия проводила в последнее время кибератаки на США, Байден ответил санкциями, но русские вновь эскалировали:
«Атака свидетельствует о том, что российские спецслужбы активизируют свою кампанию, возможно, чтобы продемонстрировать, что страна не отступит перед лицом санкций, высылки дипломатов и иного давления».
Ну, может, и так. А, может, это ответ на недавние атаки некой группировки на российские госорганы, о которой рассказывают (https://t.me/cyberguerre/224) Ростелеком и НКЦКИ (и о которых авторы NYT вообще не в курсе)? А, может, это просто продолжающаяся разведывательная операция, на что указывает отчёт Microsoft? В общем, это к тому, что в этой сфере всё очень непрозрачно, но NYT предлагает читателям простое объяснение, которое не обязательно достоверно.
И, наконец, почему-то нигде не акцентируется внимание на таком моменте из технического отчёта Microsoft: «Из-за большого объема кампании [3000 адресатов] автоматизированные системы заблокировали большинство писем и пометили их как спам. Однако автоматизированные системы могли успешно доставить некоторые из ранее отправленных писем получателям». В общем, непонятно, кто в итоге получил письма.
_____________
29.05.2021
Из Телеги:
https://t.me/cyberguerre/228
In English:
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/
Новую главу в истории про российских хакеров открыло вчерашнее заявление (https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/) Microsoft. Специалисты компании обнаружили, что группировка Nobelium, действующая из России (и, по их мнению, та же, что стояла за атакой на SolarWinds) смогла получить доступ к аккаунту USAID в сервисе рассылок Constant Contact и благодаря этому на этой неделе разослала фишинговые письма, содержащие вредонос, на 3000 адресов. USAID — это агентство США по международному развитию, подведомственное Госдепартаменту. Имейлы, согласно Microsoft, были направлены в 150 организаций в 24 странах, но в основном в США. Круг целей: государственные органы, исследовательские центры, консультанты, НКО. Ещё в одном посте техническая команда Microsoft Threat Intelligence Center рассказывает (https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/) подробности об атаке и предыдущей деятельности Nobelium.
В посте Microsoft новая атака сравнивается с атакой на SolarWinds на том основании, что в обоих случаях атакующие действовали через пользующуюся доверием компанию, чтобы заразить её клиентов. Идея понятна, но как я понял, в данном случае речь идёт о взломе аккаунта на стороннем сервисе и рассылке с него писем, что технически очень далеко от атаки на SolarWinds.
О новости написали ведущие СМИ. NYT сообщает (https://www.nytimes.com/2021/05/28/us/politics/russia-hack-usaid.html) ряд подробностей. Во-первых, CISA уже в курсе ситуации и работает с ФБР и USAID. USAID и Constant Contact комментариев не дали. Microsoft считает, что фишинговая кампания продолжается. NYT также опубликовала пример письма, и оно довольно странное. Злоумышленники зачем-то рассылают 25 мая 2021 года сообщение о том, что «Дональд Трамп опубликовал новые документы о фальсификации выборов». Учитывая специфику работы USAID и то, что Трамп уже почти полгода как не президент, это какая-то максимально неубедительная попытка фишинга.
Ещё несколько вещей в NYT явно додумали. В статье приводится цитата из поста Microsoft, что по крайней мере четверть организаций-целей работают в сфере международного развития, гуманитарной деятельности, защиты прав человека. Из этого Дэвид Сэнгер и Николь Перлрот делают вывод: такие организации во многих случаях являются наиболее жёсткими критиками Путина. Конечно, больше никаких аргументов в пользу этой гипотезы нет. Очевидно, что большинство контактов USAID — это организации занимающиеся подобной деятельностью, и далеко не все из них вообще высказываются по России.
Также упрощённо выглядит общая картина, которую рисуют авторы. Центральная мысль статьи такая: Россия проводила в последнее время кибератаки на США, Байден ответил санкциями, но русские вновь эскалировали:
«Атака свидетельствует о том, что российские спецслужбы активизируют свою кампанию, возможно, чтобы продемонстрировать, что страна не отступит перед лицом санкций, высылки дипломатов и иного давления».
Ну, может, и так. А, может, это ответ на недавние атаки некой группировки на российские госорганы, о которой рассказывают (https://t.me/cyberguerre/224) Ростелеком и НКЦКИ (и о которых авторы NYT вообще не в курсе)? А, может, это просто продолжающаяся разведывательная операция, на что указывает отчёт Microsoft? В общем, это к тому, что в этой сфере всё очень непрозрачно, но NYT предлагает читателям простое объяснение, которое не обязательно достоверно.
И, наконец, почему-то нигде не акцентируется внимание на таком моменте из технического отчёта Microsoft: «Из-за большого объема кампании [3000 адресатов] автоматизированные системы заблокировали большинство писем и пометили их как спам. Однако автоматизированные системы могли успешно доставить некоторые из ранее отправленных писем получателям». В общем, непонятно, кто в итоге получил письма.
_____________
29.05.2021
Из Телеги:
https://t.me/cyberguerre/228
In English:
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/