Keamanan cyber (terbuka di tab baru) peneliti dari Microsoft telah membagikan detail tentang kampanye baru-baru ini dan “kebanyakan tidak berhasil” oleh aktor yang disponsori negara terhadap beberapa pelanggan.
Pakar keamanan di Microsoft Threat Intelligence Center (MSTIC) mencatat bahwa aktor ancaman Nobelium menggunakan pencurian informasi malware (terbuka di tab baru) di komputer agen dukungan pelanggan untuk meluncurkan serangkaian serangan “sangat tertarget”.
“Aktivitas baru-baru ini sebagian besar tidak berhasil, dan sebagian besar target tidak berhasil dikompromikan – kami mengetahui ada tiga entitas yang disusupi hingga saat ini,” MTIC berbagi dalam posting blog (terbuka di tab baru)tanpa merinci tentang sejauh mana kompromi tersebut.
klaim Reuters (terbuka di tab baru) Microsoft mengumumkan pelanggaran hanya setelah mendekati raksasa perangkat lunak untuk menanyakan tentang catatan yang dikirim oleh perusahaan yang berbasis di Redmond kepada pelanggan yang terpengaruh.
Spionase run-of-the-mill
Kelompok Nobelium yang disponsori negara, diperkirakan beroperasi di luar Rusia, sebagian besar diyakini berada di belakang SolarWinds (terbuka di tab baru) serangan rantai pasokan.
Reuters berbicara dengan seorang pejabat yang tidak disebutkan namanya di Gedung Putih, yang mengklaim bahwa kampanye terbaru tampaknya jauh lebih tidak serius daripada serangan SolarWinds.
“Ini tampaknya sebagian besar tidak berhasil, spionase run-of-the-mill,” kata pejabat itu Reuters.
Dalam posting blognya, MSTIC membagikannya Nobelium (terbuka di tab baru) melakukan serangan password spray dan brute force terhadap pelanggan Microsoft untuk mendapatkan akses ke jaringan mereka.
Pelaku ancaman menargetkan pelanggan di tiga lusin negara, dengan sebagian besar target di AS (45%), diikuti oleh Inggris (10%), dan jumlah yang lebih kecil di Jerman dan Kanada.
Sebagian besar adalah perusahaan IT (57%), diikuti oleh entitas pemerintah (20%), dan persentase yang lebih kecil untuk lembaga swadaya masyarakat dan think tank, serta jasa keuangan.
“Jenis aktivitas ini bukanlah hal baru, dan kami terus menyarankan semua orang untuk mengambil tindakan pencegahan keamanan seperti mengaktifkan otentikasi multi-faktor (terbuka di tab baru) untuk melindungi lingkungan mereka dari serangan ini dan yang serupa,” saran MSTIC.
