Upozorenje od Microsoft-a: Ruski špijuni u novoj tajnoj operaciji

Microsoft je izdao upozorenje o tekućoj phishing kampanji od strane malicioznih aktera, pod nazivom imenu Midnight Blizzard, koje su vlasti SAD i Velike Britanije ranije povezivale sa ruskom obaveštajnom agencijom.

Midnight Blizzard je već poslao hiljade imejlova za krađu identiteta u preko 100 organizacija tokom ove kampanje, kažu iz Microsofta, objašnjavajući da ti mejlovi sadrže potpisani Remote Desktop Protocol (RDP) povezan sa serverom koji napadač kontroliše.

Grupa je koristila adrese e-pošte koje pripadaju stvarnim organizacijama, a ukradene su tokom njenih prethodnih aktivnosti, što je navelo mete da pomisle da otvaraju legitimne imejlove. Takođe su koristili tehnike društvenog inženjeringa kako bi izgledalo kao da su mejlove poslali zaposleni iz Microsofta ili Amazon Web Services.

Ako neko klikne i otvori RDP prilog, uspostavlja se veza sa serverom koji Midnight Blizzard kontroliše. Zatim napadaču daje pristup datotekama mete, svim mrežnim diskovima ili perifernim uređajima (kao što su mikrofoni i štampači) povezanim sa njihovim računarom, kao i njihovim pristupnim ključevima, bezbednosnim ključevima i drugim informacijama o veb autentifikaciji.

Takođe on bi mogao da instalira malver u računar i mrežu mete, uključujući trojance sa daljinskim pristupom koje bi mogao da koristi da ostane u sistemu žrtve čak i nakon što je prvobitna veza prekinuta.

Grupa je poznata pod mnogim drugim imenima, kao što su Cozy Bear i APT29, ali je se mnogi sećaju kao pretnje koji stoji iza 2020 SolarWinds napada, u kojima je uspela da se infiltrira u stotine organizacija širom sveta. Takođe je provalila u mejlove nekoliko viših rukovodilaca Microsofta i drugih zaposlenih ranije ove godine, pristupajući komunikaciji između kompanije i njenih klijenata.

Microsoft nije rekao da li ova kampanja ima veze sa predsedničkim izborima u SAD, ali savetuje potencijalne mete da budu proaktivnije u zaštiti svojih sistema.

Izvor: B92/Kurir/Darko Mulic