Британская разведка раскрыла атаку "Fancy Bear" на аккаунты Microsoft
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Британский Национальный центр кибербезопасности (NCSC) предупредил: российская хакерская группа Fancy Bear нацелилась на аккаунты Microsoft 365, используя изощрённое вредоносное ПО. В опубликованном техническом анализе NCSC речь идет о вредоносе под названием Authentic Antics, впервые обнаруженном в 2023 году, но только сейчас связавшемся с APT28 — печально известной российской группировкой, действующей по указке ГРУ (Главное разведывательное управление Минобороны Российской Федерации). Fancy Bear, также известная как Forest Blizzard, неоднократно фигурировала в расследованиях кибершпионажа в западных странах.
Механизм внедрения вируса NCSC не раскрывает — но подозревает традиционные фишинговые письма или вредоносные надстройки для Microsoft Outlook. Попав на целевой компьютер, вирус "охотится" за Microsoft Outlook, выманивая у жертв логины и уникальные токены OAuth 2.0, дающие доступ к сервисам Exchange Online, SharePoint и OneDrive. Особенность "Authentic Antics" — оно подсовывает фальшивые окна входа, почти неотличимые от настоящих, и активируется лишь на выбранных устройствах, чтобы подороже продать трофеи. Данные отправляются прямиком из почты жертвы: вирус высылает письмо в "правильное" место и тут же стирает следы, удаляя письмо из "Отправленных".
Вредоносная программа стала частью масштабной кибершпионской операции против западных структур — особенно тех, кто поддерживает Украину в конфликте с Россией. Британцы не называют имён, но отмечают мишени: логистические и транспортные компании, ИТ-фирмы с доступом к "облаку" Microsoft, госструктуры НАТО, а также устройства инфраструктуры — например, камеры слежения на границе для отслеживания грузов в Украину.
В ответ на эти разоблачения Британия ввела санкции против сотрудников ГРУ: под удар попали три подразделения и 18 офицеров, сообщает агентство Reuters.
Гибельная сага о московских хакерах — Fancy Bear — продолжается без лишнего драматизма. На этот раз британцы, видимо соскучившиеся по сюжету разведки времён Холодной войны, вновь находят "российский след" в сложной кибератаке на аккаунты Microsoft 365.
Вот вам очередной вирус, Authentic Antics — словно с иголочки: делает ровно то, за что у нас когда-то сжигали ведьм. Крадёт логины через поддельные окошки, шлёт добычу в чью-то бездонную папку "Спам" и сразу ликвидирует улики (как элегантно!). Британцы намекают — средства внедрения традиционны и скучны: фишинговые письма или, не поверите, "плохие" расширения Outlook. Прогресс ради прогресса.
Мишени (ваш внутренний Шерлок сейчас усмехнулся): структура НАТО, транспорт, облака Microsoft и (под барабанную дробь) камеры на границе, чтобы знать, сколько очередных генераторов уедет в Украину. Всё звучит так серьёзно, что есть ощущение: статью писали по заученному сценарию холодной войны с примесью ностальгии.
И вот реакция: Британия ударяет санкциями по ГРУ, словно это изгонит цифровые тени из облаков. Три подразделения и 18 офицеров выложены на алтарь западной безопасности. Возможно, в следующем сезоне эти персонажи поменяются местами — но сценарий останется прежним: пользователь верит в чудо защиты, хакер верит в лёгкую наживу, а весь этот паноптикум под музыку Windows продолжит свой бал.
P.S. Доверяйте только себе — и никогда не кликайте на странные окна. Даже если их придумал не Мефистофель, а инженер из Подмосковья.