Atak na systemy HP i Microsoftu. To działania rosyjskich hakerów
Firma HP ujawniła, że jej skrzynki e-mail wykorzystywane przez pracowników zostały zaatakowane przez jedną z dwóch rosyjskich grup hakerskich. Informacja zbiega się w czasie z niedawnym atakiem na skrzynki Microsoftu. W tym przypadku także wskazuje się na grupę z Rosji.
25.01.2024 15:33
O szczegółach obydwu spraw pisze Niebezpiecznik. Źródłem informacji w przypadku Hewlett Packard Enterprise (HPE) jest tzw. formularz 8-K, który jest źródłem wiedzy o stanie firmy dla udziałowców. Wynika z niego, że hakerzy uzyskali dostęp do systemu pocztowego w chmurze, o czym firma dowiedziała się w połowie grudnia 2023 roku i od razu przystąpiła do wyjaśnień. Wkrótce okazało się, że atak trwał aż od maja i w jego konsekwencji wiele danych zostało wyprowadzonych poza firmę.
Incydent wiązany jest z grupą rosyjskich hakerów APT29 (znaną także jako Midnight Blizzard). Jak podaje Niebezpiecznik, w tym momencie nie wiadomo dokładnie jak doszło do ataku, bo wspomniany dokument 8-K tego nie precyzuje. Na tę chwilę pozostaje więc domyślać się, czy źródłem problemu był skutecznie przeprowadzony atak phishingowy, instalacja szkodliwego oprogramowania czy inny powód.
Co ciekawe, w podobnym momencie analogiczny problem opisał Microsoft. Firma przyznała, że w połowie stycznia doszło do ataku na system, do którego hakerzy próbowali się włamać analizując hasła zgodne z pewnym schematem. Udało im się w ten sposób uzyskać dostęp do nieużywanego na produkcji konta, a w efekcie do "małego odsetka kont mailowych" - cytuje Niebiezpiecznik. Ten atak również wiązany jest z rosyjską grupą Midnight Blizzard.
Dalsza część artykułu pod materiałem wideo
Serwis przypomina, że APT29 to grupa znana pod wieloma nazwami, której narzędzia ataku opisano w ubiegłym roku - ustalono wówczas że wiele ataków rozpoczyna się tak, jak typowy phishing, tutaj z wykorzystaniem wizerunku polityków. Do zainfekowania komputera dochodziło po otwarciu spreparowanego pliku z załącznika. Ofiara mogła przy tym łatwo dać się nabrać, bo zastosowano technikę DLL Sideloading oraz nierzadko ukrywano faktyczne rozszerzenie pliku wykonywalnego EXE, przed którym przestrzega się w każdym poradniku cyberbezpieczeństwa.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl