Bloomberg: хакеры из РФ использовали местные прокси, чтобы скрываться за IP-адресами американцев
По данным Bloomberg, группа российских правительственных хакеров при попытке взломать сотни разведывательных целей использовала мобильные и домашние компьютерные сети американцев или «резидентные прокси-серверы IP», чтобы избежать обнаружения.
Microsoft 25 октября сообщила, что уведомила 609 своих клиентов о 22 868 атаках с мая, при этом почти все они провалились. Microsoft назвала российскую хакерскую группу Nobelium. Эту же группу обвинили в причастности к атаке на SolarWinds в декабре прошлого года.
Основными целями кампании, которая, как предполагается, еще продолжается, являются «правительственные организации и другие организации, которые занимаются вопросами, представляющими интерес для России», — говорит Чарльз Кармакал, старший вице-президент компании по кибербезопасности Mandiant Inc., сотрудничающей с Microsoft для выявления предполагаемых атак со стороны России. Кармакал сказал, что хакеры использовали резидентные IP-прокси, которые представляют собой IP-адреса, связанные с определенным местоположением, которые можно купить в Интернете.
Как и в случае с взломом SolarWinds, российские хакеры атаковали организации, «являющиеся неотъемлемой частью глобальной цепочки поставок IT», согласно информации Microsoft.
В ходе взлома SolarWinds, предоставляющего программное обеспечение для мониторинга и инструменты управления, злоумышленники включили вредоносное ПО в обновления для популярного программного продукта. Обновив программное обеспечение, клиенты SolarWinds непреднамеренно установили цифровой бэкдор, который впоследствии можно было использовать для проникновения в их сети. В конечном итоге от атак пострадали около 100 компаний и девять агентств США. Расследование Microsoft показало, что хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения.
Теперь корпорация заявила, что в недавних кибератаках хакеры сосредоточились на компаниях, которые предоставляли технологические услуги их конечным целям. При этом они, возможно, пытались обойти меры безопасности предполагаемой жертвы. В одном примере, подробно описанном Microsoft, хакеры взломали четырех разных провайдеров. Поставщики технологических услуг подверглись атакам с помощью различных средств, включая вредоносное ПО, целевой фишинг и перебор паролей. Используя резидентные IP-прокси, хакеры маскировали попытки взломать сети. Со стороны такая атака может выглядеть, например, как попытка сотрудника компании войти в систему со своего мобильного телефона.
По словам Кармакала, хакеры воспользовались услугами как минимум двух провайдеров резидентских IP-прокси, которые отказались их идентифицировать.
В итоге они могли вести свою кампанию в течение нескольких месяцев, избегая обнаружения. «Они используют гигантские пулы локальных IP-адресов для подбора паролей. Поэтому они не часто пытаются войти в одну и ту же учетную запись через один и тот же IP-адрес несколько раз», — говорит Марк Роджерс, вице-президент Okta Inc. по стратегии кибербезопасности.
Также Microsoft сообщала, что с июля 2020 по июнь 2021 года 58% всех кибератак были совершены из России. Их эффективность выросла: 32% успешных атак в этом году против 21% в прошлом. Рост эффективности российских атак Microsoft объясняет активностью группы Nobelium
