Сообщение о взломе рассылки USAID
Новую главу в истории про российских хакеров открыло вчерашнее заявление Microsoft. Специалисты компании обнаружили, что группировка Nobelium, действующая из России (и, по их мнению, та же, что стояла за атакой на SolarWinds) смогла получить доступ к аккаунту USAID в сервисе рассылок Constant Contact и благодаря этому на этой неделе разослала фишинговые письма, содержащие вредонос, на 3000 адресов. USAID — это агентство США по международному развитию, подведомственное Госдепартаменту. Имейлы, согласно Microsoft, были направлены в 150 организаций в 24 странах, но в основном в США. Круг целей: государственные органы, исследовательские центры, консультанты, НКО. Ещё в одном посте техническая команда Microsoft Threat Intelligence Center рассказывает подробности об атаке и предыдущей деятельности Nobelium.
В посте Microsoft новая атака сравнивается с атакой на SolarWinds на том основании, что в обоих случаях атакующие действовали через пользующуюся доверием компанию, чтобы заразить её клиентов. Идея понятна, но как я понял, в данном случае речь идёт о взломе аккаунта на стороннем сервисе и рассылке с него писем, что технически очень далеко от атаки на SolarWinds.
О новости написали ведущие СМИ. NYT сообщает ряд подробностей. Во-первых, CISA уже в курсе ситуации и работает с ФБР и USAID. USAID и Constant Contact комментариев не дали. Microsoft считает, что фишинговая кампания продолжается. NYT также опубликовала пример письма, и оно довольно странное. Злоумышленники зачем-то рассылают 25 мая 2021 года сообщение о том, что «Дональд Трамп опубликовал новые документы о фальсификации выборов». Учитывая специфику работы USAID и то, что Трамп уже почти полгода как не президент, это какая-то максимально неубедительная попытка фишинга.
Ещё несколько вещей в NYT явно додумали. В статье приводится цитата из поста Microsoft, что по крайней мере четверть организаций-целей работают в сфере международного развития, гуманитарной деятельности, защиты прав человека. Из этого Дэвид Сэнгер и Николь Перлрот делают вывод: такие организации во многих случаях являются наиболее жёсткими критиками Путина. Конечно, больше никаких аргументов в пользу этой гипотезы нет. Очевидно, что большинство контактов USAID — это организации занимающиеся подобной деятельностью, и далеко не все из них вообще высказываются по России.
Также упрощённо выглядит общая картина, которую рисуют авторы. Центральная мысль статьи такая: Россия проводила в последнее время кибератаки на США, Байден ответил санкциями, но русские вновь эскалировали:
«Атака свидетельствует о том, что российские спецслужбы активизируют свою кампанию, возможно, чтобы продемонстрировать, что страна не отступит перед лицом санкций, высылки дипломатов и иного давления».
Ну, может, и так. А, может, это ответ на недавние атаки некой группировки на российские госорганы, о которой рассказывают Ростелеком и НКЦКИ (и о которых авторы NYT вообще не в курсе)? А, может, это просто продолжающаяся разведывательная операция, на что указывает отчёт Microsoft? В общем, это к тому, что в этой сфере всё очень непрозрачно, но NYT предлагает читателям простое объяснение, которое не обязательно достоверно.
И, наконец, почему-то нигде не акцентируется внимание на таком моменте из технического отчёта Microsoft: «Из-за большого объема кампании [3000 адресатов] автоматизированные системы заблокировали большинство писем и пометили их как спам. Однако автоматизированные системы могли успешно доставить некоторые из ранее отправленных писем получателям». В общем, непонятно, кто в итоге получил письма.
Новую главу в истории про российских хакеров открыло вчерашнее заявление Microsoft. Специалисты компании обнаружили, что группировка Nobelium, действующая из России (и, по их мнению, та же, что стояла за атакой на SolarWinds) смогла получить доступ к аккаунту USAID в сервисе рассылок Constant Contact и благодаря этому на этой неделе разослала фишинговые письма, содержащие вредонос, на 3000 адресов. USAID — это агентство США по международному развитию, подведомственное Госдепартаменту. Имейлы, согласно Microsoft, были направлены в 150 организаций в 24 странах, но в основном в США. Круг целей: государственные органы, исследовательские центры, консультанты, НКО. Ещё в одном посте техническая команда Microsoft Threat Intelligence Center рассказывает подробности об атаке и предыдущей деятельности Nobelium.
В посте Microsoft новая атака сравнивается с атакой на SolarWinds на том основании, что в обоих случаях атакующие действовали через пользующуюся доверием компанию, чтобы заразить её клиентов. Идея понятна, но как я понял, в данном случае речь идёт о взломе аккаунта на стороннем сервисе и рассылке с него писем, что технически очень далеко от атаки на SolarWinds.
О новости написали ведущие СМИ. NYT сообщает ряд подробностей. Во-первых, CISA уже в курсе ситуации и работает с ФБР и USAID. USAID и Constant Contact комментариев не дали. Microsoft считает, что фишинговая кампания продолжается. NYT также опубликовала пример письма, и оно довольно странное. Злоумышленники зачем-то рассылают 25 мая 2021 года сообщение о том, что «Дональд Трамп опубликовал новые документы о фальсификации выборов». Учитывая специфику работы USAID и то, что Трамп уже почти полгода как не президент, это какая-то максимально неубедительная попытка фишинга.
Ещё несколько вещей в NYT явно додумали. В статье приводится цитата из поста Microsoft, что по крайней мере четверть организаций-целей работают в сфере международного развития, гуманитарной деятельности, защиты прав человека. Из этого Дэвид Сэнгер и Николь Перлрот делают вывод: такие организации во многих случаях являются наиболее жёсткими критиками Путина. Конечно, больше никаких аргументов в пользу этой гипотезы нет. Очевидно, что большинство контактов USAID — это организации занимающиеся подобной деятельностью, и далеко не все из них вообще высказываются по России.
Также упрощённо выглядит общая картина, которую рисуют авторы. Центральная мысль статьи такая: Россия проводила в последнее время кибератаки на США, Байден ответил санкциями, но русские вновь эскалировали:
«Атака свидетельствует о том, что российские спецслужбы активизируют свою кампанию, возможно, чтобы продемонстрировать, что страна не отступит перед лицом санкций, высылки дипломатов и иного давления».
Ну, может, и так. А, может, это ответ на недавние атаки некой группировки на российские госорганы, о которой рассказывают Ростелеком и НКЦКИ (и о которых авторы NYT вообще не в курсе)? А, может, это просто продолжающаяся разведывательная операция, на что указывает отчёт Microsoft? В общем, это к тому, что в этой сфере всё очень непрозрачно, но NYT предлагает читателям простое объяснение, которое не обязательно достоверно.
И, наконец, почему-то нигде не акцентируется внимание на таком моменте из технического отчёта Microsoft: «Из-за большого объема кампании [3000 адресатов] автоматизированные системы заблокировали большинство писем и пометили их как спам. Однако автоматизированные системы могли успешно доставить некоторые из ранее отправленных писем получателям». В общем, непонятно, кто в итоге получил письма.