Компания Microsoft предупредила, что недавно обнаруженная хакерская группа (условно названная Void Blizzard), якобы связанная с российскими госструктурами, нацелена на правительственные и критически важные секторы по всей Европе и Северной Америке. В первую очередь она проявляет интерес к организациям в государствах-членах НАТО и Украине.
По данным техгиганта, группировка провела множество успешных операций (сюда входит взлом нескольких учётных записей пользователей в украинской авиационной структуре в октябре 2024 года). Void Blizzard обычно собирает большой объём электронных писем и файлов из скомпрометированных систем. Основные отрасли, на которые направлены атаки, включают телекоммуникации, оборонную промышленность, здравоохранение и транспорт. Также под прицелом находятся госучреждения, правоохранительные органы, НПО и СМИ.
Microsoft отметила, что тактика «Близзардов» не является чем-то уникальным по сравнению с другими APT-группами, однако, их первоначальные подходы в последнее время претерпели изменения. На первом этапе группа в основном была сосредоточена на простых методах, направленных на компрометацию учётных данных. В апреле этого года было замечено, что Void Blizzard запустила кампанию целевого фишинга типа «злоумышленник посередине» (AitM), нацеленную на более чем 20 организаций сектора НПО в Европе и США. Она подразумевала подмену портала аутентификации Microsoft Entra с использованием домена тайпсквоттинга.
Предполагается, что группировка использует кампанию для кражи данных аутентификации, включая введённые логин и пароль, а также любые файлы cookie, сгенерированные сервером. «Эта новая тактика предполагает, что Void Blizzard дополняет свои оппортунистические, но продуманные операции более целенаправленным подходом, увеличивая риск для организаций в критически важных секторах», — пояснили в Microsoft.
Параллельно с расследованием американской корпорации разведка Нидерландов выявила, что «Близзарды», которых здесь отслеживают как Laundry Bear, стояли за взломом нескольких местных организаций и кражей «рабочих контактных данных» у полиции. Силовики установили, что APT-группа особенно заинтересована в проведении шпионских атак на западные высокотехнологичные компании.
Как заявил директор Службы военной разведки и безопасности Нидерландов вице-адмирал Питер Ризинк, эта хакерская группировка успешно получает доступ к конфиденциальной информации большого количества правительственных организаций и компаний по всему миру. Также сообщается, что Laundry Bear ищет сведения о закупке и производстве военной техники странами НАТО и поставках оружия в Украину.
Усам Оздемиров
