Fancy Bear атакует критическую инфраструктуру США

Киберпреступная группировка APT28, также известная как Fancy Bear, осуществила ряд ранее нераскрытых атак на американские предприятия, начиная от правительственных организаций, и заканчивая объектами критической инфраструктуры. Как сообщается в уведомлении ФБР, разосланном жертвам вредоносной кампании в мае нынешнего года, операция APT28 продолжалась с декабря 2018-го по, как минимум, май 2020 года, пишет Wired.

По данным ФБР, злоумышленники в основном пытались взломать почтовые и VPN-серверы, учетные записи Microsoft Office 365 и электронную почту. Список жертв включает «широкий спектр американских организаций, управлений федерального правительства и правительств штатов, а также образовательных учреждений». Кроме того, в рамках данной вредоносной кампании APT28, которую западные эксперты считают связанной с российскими спецслужбами, атаковала электроэнергетические предприятия в США.

Согласно уведомлению ФБР, злоумышленники проникали в сети атакуемых организаций с помощью фишинговых писем, отправленных как на корпоративную, так и на личную почту сотрудников. Кроме того, они использовали брутфорс-атаки и так называемое «распыление паролей» (password-spraying) – атаку, в ходе которой популярные пароли вводятся сразу во множество учетных записей. Если пароль подходит хотя бы к одной, злоумышленники получают к ней доступ.

Количество пострадавших в данной вредоносной кампании не уточняется. Тем не менее, как сообщили специалисты из FireEye, им стало известно о нескольких организациях, скомпрометированных с использованием IP-адресов из арсенала APT28. Однако в этих случаях злоумышленники не заражали взломанные сети вредоносным ПО, а перемещались по ним, как легитимные сотрудники.

Через несколько дней после уведомления ФБР Агентство национальной безопасности США предупредило о волне атак на почтовые серверы Exim. Данная операция проводилась другой группировкой, которую власти США также считают связанной с правительством РФ.

Источник: https://www.securitylab.ru/news/510543.php