Русских хакеров обвинили в кибершпионаже против НАТО и гуманитарных организаций через поддельные сервисы Microsoft

Специалисты Microsoft сообщили о новой киберугрозе, связанной с группировкой Void Blizzard, также известной под названием Laundry Bear. По их данным, злоумышленники, действующие с территории России, организовали серию атак на организации, которые, по оценке экспертов, представляют интерес для российских государственных структур. Исследователи Microsoft Threat Intelligence подчеркнули, что речь идёт о массированной операции, использующей уязвимости в облачных сервисах.

С апреля 2024 года хакеры активизировали операции против неправительственного сектора, органов власти, оборонных ведомств, транспортных компаний и медиа в странах Европы и Северной Америки. В отчёте компании говорится, что злоумышленники нацелены прежде всего на структуры, прямо или косвенно поддерживающие Украину — как гуманитарно, так и военным путём.

Специалисты Microsoft отметили, что злоумышленники активно эксплуатируют украденные данные для входа в служебные системы. Предположительно, эти данные закупаются на подпольных интернет-ресурсах.

Согласно заявлению аналитиков Microsoft Threat Intelligence, действия группы носят как случайный, так и прицельный характер, с упором на стратегически важные цели. При проникновении внутрь сетей атакуемых организаций злоумышленники фокусируются на сборе внутренних писем и рабочих документов. В ряде случаев доступ к этим ресурсам получен через фишинговые страницы, маскирующиеся под интерфейс Microsoft Entra — платформы, связанной с управлением идентификацией и доступом.

Атаки Void Blizzard преимущественно направлены на членов НАТО и страны, предоставляющие военную помощь Украине. В отчёте подчёркивается, что одной из целей хакеров стала украинская авиационная структура, чьи аккаунты были взломаны осенью 2024 года. Это произошло спустя два года после аналогичного инцидента, организованного другой группировкой — Seashell Blizzard.

Кроме того, злоумышленники задействовали украденные логины и пароли, добытые с помощью вредоносных программ — похитителей информации, которые активно распространяются в теневом сегменте интернета. Эти учётные данные использовались для входа в Exchange и SharePoint Online, откуда злоумышленники выгружали массивы корпоративной переписки и рабочих файлов.