Разведка США и Великобритании обвинила российских военных хакеров в продолжающейся кибер-кампании по краже электронных писем и другой информации, в том числе из парламентов.
Кампания в первую очередь ориентирована на США и Европу.
Говорят, что существуют сотни целей по всему миру, включая политические партии Великобритании.
Эта же группа якобы украла и слила электронные письма демократов во время президентских выборов в США в 2016 году.
США заявляют, что группа принадлежит 85-му главному центру специальной службы ГРУ, который иногда называют Fancy Bear, APT28 или Strontium.
Одной из недавних целей был норвежский парламент летом 2020 года.
Microsoft ранее заявляла, что та же кампания была нацелена на организации США и Великобритании, непосредственно участвующие в политических выборах, включая политические партии Великобритании.
Сообщается, что кампания началась в середине 2019 года и «почти наверняка» будет продолжаться. В основном он был направлен на организации, использующие облачные сервисы Microsoft Office 365, но другие поставщики услуг также были нацелены.
Агентство национальной безопасности (АНБ), Агентство по кибербезопасности и безопасности инфраструктуры, Федеральное бюро расследований и Национальный центр кибербезопасности Великобритании выпустили совместную рекомендацию, в которой подразделение 26165 ГРУ России обвиняется в том, что оно стоит за тем, что они называют глобальной кампанией «компромисса корпоративные и облачные среды «.
«Эта длительная кампания грубой силы для сбора и эксфильтрации данных, учетных данных и прочего, вероятно, будет продолжаться в глобальном масштабе», — сказал Роб Джойс, директор по кибербезопасности АНБ.
Грубая сила
Атака относительно проста: хакеры используют несколько попыток входа в систему с разными паролями, чтобы попытаться получить доступ к системам.
Утверждается, что они использовали специальное программное обеспечение для наращивания масштабов этих усилий и использовали виртуальные частные сети и систему анонимности Tor, чтобы попытаться скрыть то, что они делали.
В своем предупреждении о группе в сентябре 2020 года Microsoft заявила, что они использовали 1000 постоянно меняющихся IP-адресов.
После того, как они проникли внутрь, российские хакеры, как утверждается, украли данные, в том числе электронные письма, а также дополнительную информацию для входа в систему, чтобы позволить им зарыться глубже.
Microsoft ранее сообщала, что организации, на которые нацелены, обычно имели более 300 попыток входа в систему в час для каждой целевой учетной записи в течение нескольких часов или дней.
США поощряют тех, кто отвечает за защиту компьютерных систем, проверять свои системы на наличие признаков того, что они были скомпрометированы.
Они говорят, что наиболее эффективный способ борьбы с угрозой — это многофакторная аутентификация, которую следует использовать для входа в систему и которую невозможно угадать при попытках доступа методом грубой силы.
Многофакторная аутентификация — это когда в дополнение к паролю используется другая часть информации, возможно, номер, отправленный по тексту на телефон.
Также предлагается заблокировать учетные записи, если пароль сделан слишком часто.