Российские хакеры использовали Microsoft Teams для слежки за глобальными организациями

С началом боевых действий в Украине активизировались кибератаки со стороны российских хакеров. В одном из самых серьезных киберинцидентов последнего времени хакеры, поддерживаемые российским правительством, выдавали себя за сотрудников службы технической поддержки Microsoft Teams, чтобы шпионить и собирать конфиденциальную информацию о десятках глобальных организаций, включая национальные агентства.

Несколько дней назад исследователи безопасности Microsoft сообщили о «целенаправленной» кампании социальной инженерии, проводимой спонсируемой государством российской хакерской группой, более известной как «APT29» или «Cozy Bear». Правоохранительные органы США и Великобритании указали, что эта хакерская группа является частью Службы внешней разведки России.

В ходе кибератак, начавшихся в конце мая, эти хакеры использовали ранее скомпрометированные учетные записи Microsoft 365 для создания новых доменов, связанных со службой технической поддержки. Используя их, хакеры отправляли пользователям Microsoft Teams сообщения, предназначенные для того, чтобы заставить пользователей принять запросы многофакторной аутентификации. Конечной целью хакеров было получить доступ к учетным записям пользователей и таким образом получить конфиденциальную информацию.

В ходе своего расследования Microsoft обнаружила, что кибератаки были направлены менее чем на 40 глобальных организаций, включая государственные учреждения, неправительственные организации, поставщиков ИТ-услуг, технологические, производственные и медиа-компании.