Меню
Поиск

Взломщики SolarWinds теперь нацелились на глобальные цепочки поставок ИТ

25 октябрь, 2021 - 15:05

Взломщики SolarWinds теперь нацелились на глобальные цепочки поставок ИТ

Вчера, компания Microsoft выпустила предупреждение, что Nobelium, группа хакеров, обвиняемая в крупномасштабном инциденте с SolarWinds, выбрала своими следующими целями не менее 140 реселлеров и провайдеров технологических услуг в глобальных цепочках поставок информационных технологий (ИТ).

Об этом в блоге объявил Том Берт (Tom Burt), вице-президент Microsoft по безопасности и доверию клиентов, добавив, что группа продвинутых постоянных угроз (APT) российского происхождения теперь нацелилась на реселлеров ПО и облачных сервисов, в надежде воспользоваться прямым доступом, который те могут иметь к ИТ-системам своих клиентов.

Новейшая кампания Nobelium была выявлена в мае 2021 г., спустя пять месяцев после того, как стало известно о компрометации 18 тыс клиентов SolarWinds. На этот раза объектами нападения стали не менее 140 компаний, причём по крайней мере в одном из каждых десяти случаев взломщики добились успеха.

На этот раз группа, похоже, не использует какие-либо конкретные уязвимости, полагаясь на перебор и подстановку украденных логинов/паролей (credential stuffing), фишинг, злоупотребление API и кражу токенов в попытках получить учётные данные и привилегированный доступ к системам жертв.

«Если атака цепочки поставок SolarWinds заключалась во внедрении вредоносного кода в законное ПО, большая часть этих недавних попыток вторжения была связана с использованием украденных идентификационных данных, сетей технологических решений, услуг и компаний-посредников в Северной Америке и Европе для получения в конечном итоге доступа к средам организаций, являющихся мишенью российского правительства», – говорится в заявлении старшего вице-президента и технического директора Mandiant (бывшая FireEye),Чарльза Кармакала (Charles Carmakal).

В период с 1 июля по 19 октября Microsoft предупредила 609 клиентов о 22 868 попытках взлома, которые, по её данным, увенчались успехом лишь «в единичных случаях». До 1 июля Microsoft оповещала клиентов об попытках хакерских атак 20 500 раз, включая прошлую фишинговую кампанию, запущенную Nobelium, которая выдавала себя за USAID.

«К счастью, мы обнаружили эту кампанию на ранних этапах, – прокомментировала Microsoft. – Мы делимся этими сведениями, чтобы помочь реселлерам облачных сервисов, поставщикам технологий и их клиентам своевременно предпринять шаги, гарантирующие, что Nobelium более не добьётся успеха».

Помимо информирования всех затронутых поставщиков, компания также выпустила техническое руководство, в котором описывается, как Nobelium пытается горизонтально распространяться по сетям для охвата последующих клиентов.