По данным ФБР, злоумышленники в основном пытались взломать почтовые и VPN-серверы, учетные записи Microsoft Office 365 и электронную почту. Список жертв включает «широкий спектр американских организаций, управлений федерального правительства и правительств штатов, а также образовательных учреждений». Кроме того, в рамках данной вредоносной кампании APT28, которую западные эксперты считают связанной с российскими спецслужбами, атаковала электроэнергетические предприятия в США.
Согласно уведомлению ФБР, злоумышленники проникали в сети атакуемых организаций с помощью фишинговых писем, отправленных как на корпоративную, так и на личную почту сотрудников. Кроме того, они использовали брутфорс-атаки и так называемое «распыление паролей» (password-spraying) – атаку, в ходе которой популярные пароли вводятся сразу во множество учетных записей. Если пароль подходит хотя бы к одной, злоумышленники получают к ней доступ.
Количество пострадавших в данной вредоносной кампании не уточняется. Тем не менее, как сообщили специалисты из FireEye, им стало известно о нескольких организациях, скомпрометированных с использованием IP-адресов из арсенала APT28. Однако в этих случаях злоумышленники не заражали взломанные сети вредоносным ПО, а перемещались по ним, как легитимные сотрудники.
Через несколько дней после уведомления ФБР Агентство национальной безопасности США предупредило о волне атак на почтовые серверы Exim. Данная операция проводилась другой группировкой, которую власти США также считают связанной с правительством РФ.
Подробнее: https://www.securitylab.ru/news/510543.php