На початку цього року на конференції з безпеки BSides Exeter інженер програмного забезпечення Microsoft Росс Бевінгтон (Ross Bevington) – самопроголошений «голова відділу обману» компанії – описав захоплюючий процес, за допомогою якого Microsoft обманює шахраїв і запобігає фішинговим атакам.

Як повідомляє BleepingComputer, для залучення кіберзлочинців Microsoft використовує реалістичних «орендарів» з доступом до Azure. Потім компанія збирає дані про їхні шаблони атак у цих віртуальних «медових горщиках» (honeypot), щоб отримати глибше розуміння того, як працюють складні фішингові операції, і як краще пом’якшити злочинні кампанії.

Що таке honeypot?

Дослівно honeypot перекладається як «горщик з медом». Поряд з ханіпотом використовується вираз honey trap – «медова пастка». Ці образи прийшли зі світу шпигунства: Мата Харі та інші шпигуни зав’язали романтичні стосунки з чоловіками, щоб дізнатися секретну інформацію. Часто скомпрометованих ворожих агентів шантажували, і вони повідомляли все, що знали.

У комп’ютерному світі під терміном honeypot маються на увазі пастки для хакерів. Це системи, які заманюють кіберзлочинців у пастку. Зловмисники атакують приманку, а фахівці користуються цим, щоб зібрати інформацію про методи угруповання або відволікти його від інших цілей.

Аналізуючи вхідний трафік пастки, можна:

• з’ясувати місцезнаходження кіберзлочинців;
• оцінити ступінь загрози;
• вивчити методи зловмисників;
• дізнатися, які дані або додатки їх цікавлять;
• оцінити ефективність заходів, що використовуються для захисту від кібератак.

Як працює honeypot?

Пастка імітує комп’ютерну систему з програмами та даними, а кіберзлочинці приймають її за справжню. Наприклад, ханіпот може імітувати систему виставлення рахунків клієнтам компанії. Це популярна ціль серед кіберзлочинців, які хочуть отримати номери кредитних карток. За хакерами, які потрапили в пастку, можна спостерігати для вивченням їхньої поведінки, щоб створити більш ефективні способи захисту реальних систем.

Щоб зробити пастки більш привабливими для зловмисників, їх навмисно роблять вразливими. Наприклад, вони використовують порти, які можна виявити скануванням або слабкими паролями. Вразливі порти часто залишають відкритими, збільшуючи шанси на те, що приманка спрацює, а злочинець відвернеться від захищених реальних мереж.

Пастка – це не антивірус і не брандмауер, вона не допомагає вирішити конкретні проблеми з безпекою. Скоріше, це інформаційний інструмент, який допомагає вивчати існуючі загрози та виявляти нові. Використовуючи зібрані дані, можна розставити пріоритети проблем і правильно розподілити ресурси інформаційної безпеки.

Як Microsoft заманіє хакерів в пастку?

У своїй презентації Росс Бевінгтон навів приклад вже непрацюючого веб-сайту Microsoft code.microsoft.com, який використовувався для збору даних про всі види зловмисників – від окремих акторів до державних груп, що націлилися на інфраструктуру Microsoft.

Щоб зробити ці ханіпоти максимально реалістичними, Бевінгтон і його команда забезпечили, щоб у них відбувалися всі види діяльності, навіть створивши тисячі штучних облікових записів користувачів, які спілкувалися один з одним і обмінювалися файлами без належного захисту.

Концепція honeypot не нова, але Microsoft спритно передала ці «горщики з медом» хакерам замість того, щоб просто чекати на них, і зробила це, змусивши фальшиві облікові записи користувачів активно відвідувати веб-сайти, які широко відомі як фішингові загрози. Це привернуло увагу шахраїв до облікових записів користувачів, а згодом привело їх до цих лазівок.

Успішність Microsoft honeypot

За даними Microsoft, компанія щодня відстежує 25 000 фішингових веб-сайтів, і 20 відсотків з них отримують дані доступу, які допомагають honeypot збирати важливу інформацію про поведінку кіберзлочинців.

Близько 5 відсотків зловмисників потрапляють у пастку «медового горщика» і в кінцевому підсумку відстежуються та реєструються корпорацією Microsoft на кожному кроці. В середньому зловмисникам потрібно близько 30 днів, щоб зрозуміти, що вони потрапили у фальшиве середовище і не мають доступу до реальних даних користувачів.

За словами Бевінгтона, Microsoft змогла заманити у свою пастку не лише дрібних гравців, але й «велику рибу», таку як російська хакерська група Midnight Blizzard (NOBELIUM). Завдяки цьому компанія має змогу розробляти сильніші стратегії проти спроб фішингу всіх видів.

Ця стаття Як Microsoft переграє шахраїв за допомогою віртуальних пасток honeypot раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Корпорація Microsoft опублікувала попередження про триваючу фішингову кампанію від хакерської групи Midnight Blizzard, яку влада США і Великобританії пов’язує з розвідувальними службами росії.

Компанія заявила, що виявила, що зловмисник розсилає «вузькоспрямовані фішингові електронні листи» щонайменше з 22 жовтня, і що, на її думку, метою цієї операції є збір розвідувальної інформації. За її спостереженнями, група надсилає електронні листи особам, пов’язаним з різними секторами, але вона відома тим, що націлена як на урядові, так і на неурядові організації, постачальників ІТ-послуг, науковців та представників оборонного сектору. Крім того, хоча ця кампанія здебільшого зосереджена на організаціях у США, Україні та Європі, вона також націлена на приватних осіб в Австралії та Японії.

За даними Microsoft, Midnight Blizzard вже розіслала тисячі фішингових електронних листів понад 100 організаціям, пояснивши, що ці листи містять підписаний протокол віддаленого робочого столу (RDP), підключений до сервера, який контролює зловмисник. Група використовувала адреси електронної пошти, що належать реальним організаціям, викрадені під час її попередньої діяльності, змушуючи жертв думати, що вони відкривають легальні електронні листи. Вона також використовувала методи соціальної інженерії, щоб створити враження, ніби електронні листи були надіслані працівниками Microsoft або Amazon Web Services.

Як відбувається атака?

Якщо хтось натискає і відкриває RDP-вкладення, встановлюється з’єднання з сервером, який контролює Midnight Blizzard. Це дає зловмиснику доступ до файлів жертви, будь-яких мережевих дисків або периферійних пристроїв (наприклад, мікрофонів і принтерів), підключених до її комп’ютера, а також до її паролів, ключів безпеки та іншої інформації про веб-автентифікацію. Вони також можуть встановлювати шкідливе програмне забезпечення на комп’ютер і мережу жертви, в тому числі трояни для віддаленого доступу, які можуть залишатися в системі жертви навіть після того, як первинне з’єднання було розірвано.

Група відома під багатьма іншими іменами, такими як Cozy Bear та APT29, але ви, можливо, пам’ятаєте її як суб’єкта загрози, що стоїть за атаками SolarWinds 2020 року, в ході яких їй вдалося проникнути в сотні організацій по всьому світу. На початку цього року він також зламав електронну пошту кількох вищих керівників Microsoft та інших співробітників, отримавши доступ до комунікації між компанією та її клієнтами. Microsoft не повідомила, чи пов’язана ця кампанія з президентськими виборами в США, але радить потенційним жертвам бути більш проактивними у захисті своїх систем.

Ця стаття Microsoft попереджає: російські хакери проводять операцію зі збору розвідувальних даних раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія Hewlett Packard Enterprise (HPE) заявляє, що сумнозвісна російська хакерська група, що фінансується державою, зламала її системи, щоб отримати доступ до електронної пошти, що належить її відділам кібербезпеки та бізнесу.

Російським хакерам, які нещодавно зламали Microsoft, також вдалося проникнути в іншу велику ІТ-компанію: Hewlett Packard Enterprise.

Сьогодні HPE повідомила, що сумнозвісна хакерська група під назвою Midnight Blizzard або Cozy Bear, яка фінансується державою, зламала електронну пошту компанії. HPE вперше виявила атаку 12 грудня, але зловмисники могли мати доступ до системи протягом декількох місяців.

“На основі нашого розслідування ми вважаємо, що зловмисники отримали доступ до даних, починаючи з травня 2023 року, з невеликого відсотка поштових скриньок HPE, що належать особам, які працюють у наших відділах кібербезпеки, виведення на ринок, бізнес-сегментах та інших підрозділах”, – йдеться у повідомленні компанії, поданому до Комісії з цінних паперів і бірж США.

Незрозуміло, як зловмисники отримали доступ. Але схоже, що російські хакери атакували HPE на кількох фронтах. У своїй заяві компанія зазначила: “Цей інцидент, ймовірно, пов’язаний з попередньою діяльністю цього суб’єкта загрози, про яку повідомлялось в червні 2023 року, що включала несанкціонований доступ до обмеженої кількості файлів SharePoint і їх викрадення ще в травні 2023 року”. У відповідь на це HPE співпрацює з правоохоронними органами та зовнішніми експертами з кібербезпеки для усунення наслідків злому.

Цей злам має певну схожість з тим, як Cozy Bear націлився на Microsoft. Минулого тижня в Редмонді стало відомо, що хакери, які фінансуються державою, зламали системи Microsoft, щоб отримати доступ до корпоративної електронної пошти вищого керівництва і співробітників “кібербезпеки, юридичних та інших функцій”.

Ця стаття Російські хакери, які атакували Microsoft, також проникли в Hewlett Packard Enterprise раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У п’ятницю Microsoft повідомила, що хакерська група, яку вона називає Midnight Blizzard, також відома як APT29 або Cozy Bear – і яку, як вважають, спонсорує російський уряд – зламала деякі корпоративні електронні поштові скриньки, в тому числі скриньки “вищого керівництва компанії і співробітників, які займаються кібербезпекою, юридичними та іншими функціями”.

Цікаво, що хакери не полювали за даними клієнтів або традиційною корпоративною інформацією, за якою вони зазвичай полювали. Вони хотіли дізнатися більше про себе, а точніше, вони хотіли дізнатися, що Microsoft знає про них, повідомляє компанія.

“Розслідування вказує на те, що вони спочатку націлювалися на електронні поштові скриньки для отримання інформації, пов’язаної з самою Midnight Blizzard”, – написала компанія у своєму блозі та у повідомленні для SEC.

За даними Microsoft, хакери застосували “атаку розпилення паролів” – по суті, грубий підбір – проти застарілого облікового запису, а потім використали дозволи цього облікового запису “для доступу до дуже невеликого відсотка корпоративних електронних поштових скриньок Microsoft”.

Microsoft не повідомила, скільки облікових записів електронної пошти було зламано, а також яку саме інформацію хакери отримали доступ або викрали.

Microsoft скористалася новиною про цей злам, щоб розповісти про те, як вони збираються рухатися далі, щоб зробити себе більш захищеними.

“Для Microsoft цей інцидент підкреслив нагальну необхідність рухатися ще швидше. Ми будемо діяти негайно, щоб застосувати наші поточні стандарти безпеки до застарілих систем і внутрішніх бізнес-процесів, що належать Microsoft, навіть якщо ці зміни можуть спричинити порушення існуючих бізнес-процесів”, – написали в компанії. “Це, ймовірно, спричинить певний збій, поки ми адаптуємося до нової реальності, але це необхідний крок, і лише перший з декількох, які ми зробимо, щоб прийняти цю філософію”.

APT29, або Cozy Bear, вважається російською хакерською групою, відповідальною за низку гучних атак, зокрема, проти SolarWinds у 2019 році та багатьох інших.

Ця стаття Хакери зламали Microsoft, щоб дізнатися, що Microsoft знає про них раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня