استهدفت مجموعة قرصنة عدة منظمات عالمية بحملة جديدة، باستخدام هذه الحملة، يتظاهر المهاجمون بأنهم من فريق دعم فني ويسرقون بيانات اعتماد تسجيل الدخول من خلال إشراك المستخدمين في محادثات Microsoft Teams.
وفقًا لتقرير صادر عن رويترز، حذر باحثو مايكروسوفت من أن مجموعة قرصنة مرتبطة بالحكومة الروسية تقف وراء الحملة.
في مدونة لاحظ الباحثون أيضًا أن هجمات القرصنة "شديدة الاستهداف" قد أثرت بالفعل على "أقل من 40 منظمة عالمية فريدة" منذ مايو. وأكدت مايكروسوفت أيضًا أنها تحقق في الحادث.
كما ذكر التقرير أن السفارة الروسية في الولايات المتحدة لم ترد بعد على طلب للتعليق.
كيف يستهدف المخترقون المستخدمين؟
اكتشف الباحثون أن هؤلاء المتسللين قد أنشأوا مجالات وحسابات تشبه الدعم الفني وحاولوا إشراك مستخدمي Teams في الدردشات. ثم يثني هؤلاء المتسللون هؤلاء المستخدمين عن الموافقة على مطالبات المصادقة متعددة العوامل (MFA).
وفقًا لمدونة مايكروسوفت، استخدم المتسللون حسابات مايكروسوفت 365 التي تم اختراقها بالفعل والتي تملكها الشركات الصغيرة لإنشاء مجالات جديدة.
وبدت هذه المجالات كيانات دعم تقني وبداخلها كلمة "مايكروسوفت"، لاحظ الباحثون أن الحسابات المرتبطة بهذه المجالات أرسلت رسائل تصيد احتيالي لطعم الناس عبر Teams.
وMFAs هي إجراء أمني مصمم لمنع المتسللين من سرقة بيانات الاعتماد، مجموعة القرصنة التي تستهدف النظام الأساسي لمؤتمرات الفيديو من مايكروسوفت، يقترح Teams أن المهاجمين اكتشفوا طرقًا جديدة لتجاوزها.
زعم البيان المالي لشركة التكنولوجيا العملاقة لشهر يناير أن Teams لخدمات الاتصالات التجارية لديها قاعدة مستخدمين نشطة تزيد عن 280 مليون مستخدم.
وأشار الباحثون إلى أن "مايكروسوفت قد خففت من استخدام النطاقات وتواصل التحقيق في هذا النشاط والعمل على معالجة تأثير الهجوم".
مجموعة قرصنة Midnight Blizzard
ذكرت الشركة أن المجموعة التي تقف وراء أنشطة القرصنة في Teams قد تم تحديدها على أنها Midnight Blizzard أو APT29.
وأشار الباحثون إلى أن مجموعة القرصنة هذه تقع في روسيا وأن المملكة المتحدة وحكومات الولايات المتحدة قد ربطتها أيضًا بجهاز المخابرات الخارجية في البلاد.
وقال الباحثون "المنظمات المستهدفة في هذا النشاط تشير على الأرجح إلى أهداف تجسس محددة من قبل ميدنايت بليزارد موجهة إلى الحكومة والمنظمات غير الحكومية وخدمات تكنولوجيا المعلومات والتكنولوجيا والتصنيع المنفصل وقطاعات الإعلام". ومع ذلك لم يذكر الباحثون أيا من الأهداف.
وفي وقت سابق في عام 2018، ورد أن Midnight Blizzard استهدفت مثل هذه المنظمات في الولايات المتحدة وأوروبا.
وأضاف الباحثون: "هذا الهجوم الأخير، جنبًا إلى جنب مع النشاط السابق، يوضح بشكل أكبر تنفيذ Midnight Blizzard المستمر لأهدافهم باستخدام تقنيات جديدة ومشتركة".