חברת מיקרוסופט חשפה השבוע פרצת אבטחה מבוססת הנדסה חברתית שנוצלה על ידי האקרים רוסים מקבוצת Midnight Blizzard במטרה לפרוץ לארגונים וחברות.
אפליקציית Teams מבית חברת מיקרוסופט מאפשרת בימים כתיקונם לקבוצות ומשתמשים לנהל שיחות וידאו, צ'אטים ופעולות נוספות המועילות לעבודת צוות במקום העבודה ובלימודים. אך על פי פרסום של חברת מיקרוסופט בעצמה, התוכנה הפכה לאחרונה ליעד עבור קבוצת התקיפה Midnight Blizzard, אשר ממשלת רוסיה לכאורה עומדת מאחריה. "בפעילות זו, התוקפים השתמשו בשיטה בה בעבר פגעו במשתמשי Microsoft 365 השייכים לבעלי עסקים קטנים על מנת לייצר דומיינים שנחזים לשייכים לאימיילים של תמיכה", אמרו בחברה. "תוך שימוש בדומיינים אלו, קבוצת Midnight Blizzard פנתה אל משתמשי Teams ופיתו אותם לשלוח מידע אישי ונתונים על מנת לעקוף את מנגנון האימות דו-שלבי".
במיקרוסופט מסרו כי הם החלו לעקוב אחר התופעה כבר בחודש מאי 2023, ולהערכתם כ-40 ארגונים ממשלתיים, לא ממשלתיים, חברות אינטרנט, טכנולוגיה ותקשורת נפלו קורבן למתקפה. מעבר לשימוש בהנדסה חברתית על מנת להשיג פרטים אישיים (התחזות לגורם בר-סמכא ובקשת מידע כגון מספרי זהות, כתובות, תשובות לשאלות אבטחה ועוד), ביקשו התוקפים מהקורבנות את מספרי הקוד אשר נוצרים באופן אוטומטי על ידי מחוללי קודים כגון Google Authenticator, אפליקציה המחוללת קודים המיועדים לאימות דו-שלבי ומשתנים בכל 30 שניות.
לטענת מיקרוסופט, קבוצת Midnight Blizzard (לשעבר NOBELIUM) היא קבוצת סייבר התקפית שפועלת תחת שירותי הביון הרוסים, כך על פי ממשלות ארה"ב והממלכה המאוחדת. לטענתם, הקבוצה פועלת כנגד ממשלות, גורמים דיפולמטיים, ארגונים לא ממשלתיים וחברות תקשורת הפועלות בעיקר בארה"ב ובאירופה. המטרה שלהם, כך נכתב, היא לאסוף מודיעין באמצעות ריגול מתמשך אחר אינטרסים זרים מאז 2018. הפעולות שלהם לכאורה כוללות פריצה לחשבונות ובמקרים של מטרות איכות, טכניקות מתקדמות לנצל מנגנוני אבטחה בתוך ארגונים כדי להרחיב את הגישה הבלתי חוקית שהשיגו ולהתחמק מזיהוי. במיקרוסופט טוענים כי הקבוצה ידועה גם תחת השמות APT29, UNC2452 ו-Cozy Bear.
