«Модно обвинять Россию»: что известно о новой атаке хакерской группировки Nobelium

Microsoft сообщила об активизации кибергруппировки Nobelium, которая больше года назад атаковала американского разработчика софта SolarWinds и получила доступ к данным правительства США. В Microsoft продолжают связывать Nobelium с российской разведкой, однако эксперты по кибербезопасности говорят, что доказательств этого компания не предоставила

С июля по октябрь 2021 года хакерская группировка Nobelium атаковала клиентов Microsoft более 22 000 раз. Об этом сообщил вице-президент по безопасности и доверию клиентов американской компании Том Берт.

По данным исследования Microsoft, с мая группировка Nobelium пытается атаковать реселлеров и провайдеров, предоставляющих услуги развертывания и управления облачными сервисами, чтобы через них получить доступ к IT-сетям их клиентов. Всего хакеры атаковали сети более 140 предприятий, и в 14 случаях успешно: злоумышленникам удалось проникнуть в чужие сети с помощью таких простых методов как фишинг или подбор паролей. Однако Microsoft выявила эти попытки взлома на ранних этапах, отметил Берт.

«Эта недавняя активность — еще один показатель того, что Россия пытается получить долгосрочный доступ к различным точкам в цепочке поставок технологий и создать механизм для отслеживания целей, представляющих интерес для российского правительства», — заявил Берт. Он также отметил, что Microsoft сотрудничает с правительственными агентствами в США и Европе, чтобы защититься от деятельности Nobelium.

Материал по теме

Кто такие Nobelium

Nobelium — хакерская группировка, которая является частью службы внешней разведки России, указывает Microsoft со ссылкой на правительство США. У нее есть и другие названия: Cozy Bear, APT29 или Dark Halo. Эти же злоумышленники принимали участие в атаке на американскую IТ-компанию SolarWinds, утверждает Microsoft. Она была крупнейшей и наиболее сложноорганизованной с технологической точки зрения, говорил в феврале 2021 года президент корпорации Microsoft Брэд Смит.

Программное обеспечение Orion от SolarWinds хакеры взломали в марте 2020 года. Тогда злоумышленникам удалось внедрить вирус в обновление Orion, которое затем загрузили и использовали тысячи клиентов SolarWinds, среди которых правительственные учреждения США и более 400 крупнейших американских компаний. Это стало известно из совместного заявления аппарата директора Национальной разведки США, ФБР и Агентства по обеспечению инфраструктурной и кибербезопасности в январе 2021 года. В нем говорилось, что работа, которую провела группа расследователей, «указывает на то, что субъект постоянной угрозы, вероятно, по происхождению российский». При этом взлом считается одним из наибольших провалов разведки США за последние годы, пишет The Wall Street Journal.

В ответ на атаку против SolarWinds США ввели новые санкции против России. При этом российские власти не признали обвинения в организации кибератаки.

Однако Microsoft продолжила следить за деятельностью Nobelium и в мае этого года выявила еще одну атаку. Компания сообщила, что российские злоумышленники скопировали аккаунт в сервисе для рассылки писем и разослали фишинговые письма на 3000 учетных записей более чем в 150 организациях, включая правительственные учреждения и организации, занимающиеся международным развитием, гуманитарной и правозащитной деятельностью. Всего атака затронула 24 страны, однако преимущественно пострадали компании из США.

Материал по теме

Есть ли доказательства?

Пока доказательств того, что за группировкой Nobelium стоят хакеры из России, никто не предъявил, говорит консультант по информационной безопасности Cisco Алексей Лукацкий. «Обычно не очень квалифицированные или политически ангажированные эксперты рассматривают в качестве доказательства принадлежность к определенной стране IP-адресов, с которых осуществляется атака, часовые пояса и фрагменты кода», — отмечает Лукацкий.

По его словам, если атака совершается с российских IP-адресов и фрагменты кода ранее уже приписывались русским хакерам (часто тоже бездоказательно), эксперты делают вывод, что за атакой стоят россияне. Как и за всеми хакерскими атаками со схожими признаками, добавил он. «Сейчас модно обвинять Россию в кибератаках, так как в отдельных странах выделяются большие бюджеты на повышение уровня защиты от кибератак и некоторые компании считают, что их легко получить на борьбу с известным врагом», — полагает Лукацкий.

IТ-сектор является ключевым для этой группы злоумышленников, так как он дает возможность добраться не только до самой жертвы (конкретной IТ-корпорации), но и до их многочисленных клиентов с помощью атак на цепочки поставок, говорит руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова.

Но внятных доказательства, что за деятельностью группы Dark Halo (Nobelium) стоят русские хакеры, сейчас нет, отмечает Тихонова. «Никаких тактик, техник и процедур, которые могли бы доказать пересечения между действиями Dark Halo (Nobelium) и другой известной группой злоумышленников, не было представлено, за исключением разве что сравнения используемого Dark Halo (Nobelium) бэкдора Sunburst с Kazuar RAT, который используют хакеры группировки Turla», — считает Тихонова.

С Тихоновой и Лукацким согласен руководитель департамента аудита информационной безопасности Infosecurity Сергей Ненахов. По его словам, для того чтобы сделать выводы о причастности конкретной группы хакеров к атаке, нужно иметь доступ к большому количеству телеметрических данных, которые может собрать очень ограниченное число компаний. Microsoft как крупный игрок может позволить себе такое расследование, но непонятно, насколько эта компания независима от вмешательства политики, отмечает Ненахов.