Хакерские группы из России, Китая и Ирана активизируют свои усилия по взлому большого количества учетных записей пользователей, связанных с политическими и правозащитными организациями, а также предприятиями в США и Великобритании, выяснил мониторинг безопасности Microsoft.
Атаки происходят в преддверии выборов в США, и Microsoft призывает организации и целевых лиц включить многофакторную аутентификацию учетных записей, что препятствует подавляющему большинству попыток сбора учетных данных.
Несмотря на доказанную эффективность MFA — Google заявила в прошлом году, что ни одна учетная запись, использующая аппаратные ключи для своих сервисов, не была взломана, — Microsoft обнаружила, что использование меры безопасности ниже десяти процентов в корпоративных учетных записях, которые она отслеживает.
Без более широкого внедрения MFA Microsoft заявила, что у злоумышленников мало причин развиваться дальше своей нынешней тактики получения доступа к учетным записям.
Помимо включения MFA, Microsoft посоветовала организациям активно отслеживать неудачные попытки входа в систему и проверять их устойчивость с помощью имитируемых фишинговых атак и атак паролей на пользователей.
Замешаны Россия, Китай и Иран
Корпорация Microsoft выделила трех действующих лиц, спонсируемых государством.
«Стронций», который действует из России и за последние несколько лет атаковал более 200 организаций, включая хакерские атаки на президентскую кампанию Демократической партии США в 2016 году, когда электронные письма были взяты субъектами угрозы.
В последнее время «Стронций» нацелился на американских политических консультантов, работающих как на республиканцев, так и на демократов, а также на аналитические центры и национальные и государственные партийные организации, сообщает Microsoft Threat Intelligence Centre.
Группа также атаковала Европейскую народную партию, христианско-демократическую консервативную партию, основанную бывшим премьер-министром Польши Дональдом Туском.
Британские политические партии были нацелены на Стронций, который также преследовал предприятия в сфере гостеприимства, производства, финансовых услуг и физической безопасности.
Стронций, по-видимому, в основном отказался от целенаправленной «подводной охоты» на конкретные учетные записи в пользу крупномасштабных атак грубой силы и распыления паролей.
Атаки проводятся через пул из более чем 1200 адресов интернет — протокола, разбросанных по пяти различным сетевым блокам в США, Германии и Австрии.
Большинство из них используют разработанный ВМС США сервис анонимизации Onion Router (TOR), чтобы избежать отслеживания и атрибуции, сообщила Microsoft.
Атаки Strontium с использованием паролей могут длиться дни и недели, в среднем по четыре попытки на каждую учетную запись при попытке комбинации имени пользователя и пароля в час.
С другой стороны, атаки грубой силы со стороны Стронция могут привести к примерно 300 попыткам аутентификации в час и учетной записи в течение нескольких часов или дней.
Люди, связанные с кандидатом в президенты от Демократической партии Джо Байденом и видными лидерами международных отношений, стали мишенями китайской хакерской группы Zirconium, заявил глава отдела клиентской безопасности и доверия Microsoft Том Берт.
Один бывший член администрации Трампа также подвергся атаке Циркония, который в период с марта по сентябрь этого года сумел взломать почти 150 учетных записей, сообщает Microsoft.
Цирконий использует «веб-маяки», которые являются ссылками на домены, которые они контролируют, для целевых пользователей.
Хотя сами домены могут не содержать вредоносного контента, пользователи, переходящие по ссылкам, уведомляют Zirconium о том, что их учетные записи действительны.
Иранская фосфорная группа также наращивает активность и в период с мая по июнь этого года пыталась получить доступ к правительственным счетам США и другим лицам, связанным с президентской избирательной кампанией Дональда Трампа.
Фосфору не удалось войти в учетные записи, и в августе Microsoft получила судебный приказ взять под контроль 25 доменов, зарегистрированных группой.
За эти годы Microsoft захватила 155 доменов, которые были частью цифровой инфраструктуры Phosphorus.
