Cozy Bear ne počiva

Iz Microsofta so v razmeroma skopem sporočilu opozorili na nov napad s strani hekerske skupine Nobelium, kar je njihovo poimenovanje združbe APT29, oziroma Cozy Bear. Tokratni podvig je bil manjšega obsega, toda z važno podrobnostjo: začel se je z vdorom v računalnik enega od Microsoftovih uslužbencev.

Hekerska grupa Nobelium je ta hip brez dvoma eden najbolj poznanih globalnih kiber-napadalcev, saj je v lanskem letu zagrešila enega največjih hekerskih vdorov v zgodovini, ko se je skozi okuženo programsko opremo podjetja SolarWinds pretihotapila v vrsto pomembnih ameriških podjetij in agencij. Kdo natančno skupino sestavlja, še vedno ni čisto jasno; zelo verjetno se večinsko prekriva z že dlje časa razvpito rusko združbo Cozy Bear. Američani so še vedno trdno prepričani, da gre za Ruse, tesno povezane s tamkajšnjo obveščevalno službo. Gotovo pa gre za organizirano skupino, katere delovanje je zastavljeno na dolgi rok, kar Američani imenujejo persistent threat actor. Tako so v Microsoftu, kjer skušajo Nobelium podrobno spremljati zaradi ločenega napada, maja že opozarjali na novo phishing kampanjo, ki je zlorabljala okužen poštni račun Ameriške agencije za mednarodni razvoj USAID.

V petek so iz Redmonda poročali o novih lumparijah omenjenih nepridipravov. V tokratnem napadu naj bi se konec maja spravili na še neznano število tarč, pri čemer naj bi v tri podjetja tudi uspešno vdrli. Problematičen za Microsoft pa je način: šlo je za razbijanje gesel in ribarjenje s podatki, ki so jih zlikovci ukradli z računalnika Microsoftovega uslužbenca za podporo. Tako so na primer pridobili podatke o uporabniških imenih računov in osebne podatke njihovih imetnikov, kar so uporabili v tehnikah, kakršna je password-spraying, kjer se serijsko preizkuša prilagojena gesla. Microsoft je vse napadene, tudi tiste, kjer vdor ni uspel, že obvestil.