בראש הכותרות

האקרים רוסים ביצעו מתקפות פישינג באמצעות Microsoft Teams

לפי מיקרוסופט, חברי APT29 השתמשו בשירות הצ'טים שלה על מנת לגנוב אישורי כניסה מעשרות ארגונים בעולם, וכך להשיג דרכי גישה קלות אליהם ● לפי ESET, נראה שמדובר במתקפת סייבר רחבה אך ממוקדת נגד המערב

03/08/2023 16:30
תוכנה שההאקרים השתמשו בה כדי לתקוף. Microsoft Teams.
תוכנה שההאקרים השתמשו בה כדי לתקוף. Microsoft Teams.צילום: BigStock

פוטין ממשיך להיות ילד רע בסייבר (שלא אוהבים אותו, לא כל כך ולא נורא): מיקרוסופט פרסמה באחרונה שהאקרים רוסים, שהתחזו לצוות תמיכה טכנית בצ'טים בשירות Teams שלה, גנבו אישורי כניסה מעשרות ארגונים ברחבי העולם, במתקפות פישינג שנועדו להשיג להם דרכי גישה קלות לפרוץ לארגונים.

לפי חוקרי מרכז מודיעין האיומים של מיקרוסופט, כ-40 ארגונים נפגעו מהמתקפות. ההאקרים גרמו למשתמשים לאשר הנחיות לאימות רב גורמי (MFA) ולאחר מכן ביצעו מתקפות פישינג במטרה להשיג נתוני התחברות לארגונים. מומחי אבטחה, של הענקית מרדמונד ומחוצה לה, העריכו כי עברייני הסייבר הללו קשורים למערך הביון הרוסי.

חוקרי הענקית מרדמונד ציינו שההאקרים הקימו דומיינים וחשבונות שנראו כמו צוותי תמיכת IT. לאחר מכן הם ביקשו ממשתמשי Teams לאשר ניסיונות לאימות רב גורמי. הקבוצה, APT29, השתמשה בחשבונות Microsoft 365 שכבר נפרצו בעבר, ושנמצאים בבעלות עסקים קטנים, כדי ליצור דומיינים חדשים המופיעים כישויות של תמיכה טכנית. APT29 היא מקבוצות התקיפה הרוסיות הידועות, שמיקרוסופט מכנה אותה Midnight Blizzard.

ההאקרים כיוונו את מתקפותיהם למגזרי ממשלה, ארגונים לא ממשלתיים, שירותי IT, טכנולוגיה, ייצור תעשייה ומדיה, ציינו החוקרים.

לפי החוקרים, "המתקפה האחרונה הזו, בשילוב עם פעילות שהיא ערכה בעבר, מייצגת את הביצוע המתמשך של Midnight Blizzard, שתוקפת את המטרות שלה תוך שימוש בטכניקות חדשות ונפוצות כאחד".

לא חדל מלתקוף - גם בסייבר. נשיא רוסיה, ולדימיר פוטין.

לא חדל מלתקוף – גם בסייבר. נשיא רוסיה, ולדימיר פוטין. צילום: BigStock

המתקפות המדוברות החלו בסוף חודש מאי ומיקרוסופט הודיעה כי היא הצליחה להשבית את הפעילות הזו של חברי הקבוצה. על פי הענקית מרדמונד, היא "ממשיכה לחקור את המתקפה הזו ולפעול לתיקון ההשפעה שלה".

שגרירות רוסיה בוושינגטון לא הגיבה לדיווחים.

APT29 מונחית על ידי הביון הרוסי

Teams היא פלטפורמת המסרים העסקיים העיקרית של מיקרוסופט, ולה יותר מ-280 מיליון משתמשים פעילים. חוקרי ESET מסרו כי "מיקרוסופט מציינת שהותקפו בקמפיין זה לפחות 40 ארגונים גלובליים ייחודיים. זה מרמז על מבצע ריגול סייבר ממוקד ביותר נגד מטרות בארצות הברית ובאירופה".

בעבר פורסם כי קבוצת APT29 פועלת תחת הנחיות של סוכנות הביון הרוסית SVR, ומקושרת לעתים גם ל-FSB – המחליף של הקג"ב. הפעילות כוללת שימוש של הקבוצה, שידועה גם בשמות Cozy Bear (דובי חמים ונעים, בתרגום חופשי) ונובליום, ברוגלות ובנוזקות. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול גם לאחר שאלה מתגלות. המתקפה הבולטת ביותר שלה, שגרמה לנזק הרב ביותר, הייתה על סולארווינדס.

מיקרוסופטMicrosoftרוסיהeSeTMicrosoft TeamsAPT29

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים