Компания обнародовала случившийся еще 12 января взлом некоторых учетных записей сотрудников компании и традиционно объявила его делом рук «русских хакеров». Как поясняют эксперты, выяснить национальность и гражданство хакеров по следам взлома невозможно.
Microsoft взломали. В американской компании заявили, что некоторые учетные записи руководства и сотрудников служб кибербезопасности были взломаны российскими хакерами из группы под названием Midnight Blizzard (также известна как Nobelium). Это произошло в ноябре прошлого года, а известно об инциденте стало только 12 января. В сообщении говорится, что злоумышленники получили доступ к небольшому проценту учетных записей корпоративной электронной почты. Были похищены письма и прикрепленные к ним документы.
С помощью перебора паролей хакеры сумели получить доступ к устаревшей непроизводственной учетной записи, а с ее помощью проникли в другие корпоративные аккаунты.
В Microsoft заявили, что эта хакерская организация спонсируется российскими властями, ранее Москва неоднократно отрицала свою причастность к кибератакам и хакерской деятельности.
Если у Microsoft можно что-то взломать методом перебора паролей, то с безопасностью в компании что-то не так, и, конечно, есть желание свалить свой просчет на русских хакеров, уверен управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев:
«Названия для группировок придумывают сами пострадавшие компании, компании, которые проводят расследование. За этим названием стоит только набор инструментария, который использовали злоумышленники. То есть использовался такой-то инструмент для перебора паролей, такой-то инструмент еще для чего-то, то есть был какой-то набор инструментария, мы называем это «группа А», потом атаку похожего типа, там тот же самый инструментарий используется, и мы можем предположить, что это та же самая группа, то есть те же самые лица, которые в этом участвуют. Но здесь есть нюанс, на черном рынке инструментарий продается и разработчиками, значит, он может быть продан этим ребятам, которые эти атаки совершали, и может быть продан другим ребятам, которые совершают другие атаки. Вы будете называть это одной группой, а это разные люди, которые друг друга не знают. По поводу установления того, кто эти люди по своему паспорту. Это сделать технически никак невозможно, можно установить, что, скорее всего, члены этой группы общаются на русском, китайском, французском и немецком языках. Это можно сделать за счет разбора инструментария, вы можете посмотреть, что там оставлены соответствующие комментарии, и вы можете предположить, что большинство участников данного сообщества общаются в данном случае на русском языке. Но в американских конкурсах хакерских очень часто побеждают ребята, которые говорят по-русски, но давно переехали в Америку. Это не говорит ничего о гражданстве. И с таким мы тоже сталкиваемся, допустим, с китайским языком вроде как китайская история, а потом смотришь, там одни граждане Италии, когда их уже арестовали. Почему отложено время непосредственно от атаки до того, как это выяснилось. Оно могло не выясниться вообще, очень часто так и бывает, судя по описанию, был подобран пароль к каким-то техническим учетным записям, и через них уже был в дальнейшем доступ организован во внутренние системы, в частности, в систему переписки — электронную почту, и ничего не было сделано, кроме того, что информация была просто скопирована».
Хакеры вполне могли оставить какое-то послание, но даже это не доказывает, что они россияне, говорит специалист по информационной безопасности Марсель Дандамаев:
«Я не знаю, как Microsoft поняли, что хакеры именно российские, потому как, возможно, могли быть и другие хакеры. Наверное, они оставили письмо, послание или название своей группы. Почему ноябрьский взлом обнаружили только сейчас? Наверное, была проведена ревизия или еще что-то, либо они поняли, возможно, наступили сейчас какие-то последствия. У сотрудника, который причастен к этой организации, были украдены пароли с помощью вируса, сейчас это очень распространенная тема, и когда злоумышленники понимают, что это сотрудник Microsoft, они пробуют пароли использовать, которые у него были в браузере. А если атака вирусом была совсем недавно, то эти пароли могут работать».
Ранее в Microsoft неоднократно заявляли о кибератаках со стороны российских хакеров. К примеру, в 2021 году корпорация утверждала, что Nobelium предприняла более 20 тысяч кибератак на 609 компаний, а в прошлом году Microsoft сообщила, что хакеры из России взломали ее почтовый клиент Outlook.