Experti z bezpečnostního centra společnosti Microsoft (MSTIC) zaznamenalo a narušilo aktivitu hackerské skupiny SEABORGIUM, která pochází z Ruska. Pod drobnohledem amerického giganta je už od roku 2017 a vybírá si cíle úzce související s ruskými státními zájmy.

Microsoft tvrdí, že od počátku roku 2022 si SEABORGIUM trouflo na 30 různých organizací, zaměřuje se převážně na státy NATO, zejména USA a Velkou Británii. Mezi jejich cíle však patří i Pobaltské země, nordické státy a země východní Evropy. V měsících před ruskou invazí se hackeři zaměřili i na Ukrajinu, podle Microsoftu ale nejde o jejich primární zaměření.

V jednotlivých zemích SEABORGIUM cílí na poradenské společnosti v oblastech obrany a zpravodajství, nevládní a mezivládní organizace, vysoké školy nebo think-tanky. Hackerům neunikli ani jednotlivci, mezi ně patří třeba bývalí zpravodajští úředníci, odborníci na ruské záležitosti a ruští občané žijící v zahraničí.

Jakým způsobem vlastně hackeři získávají citlivá data? Používají důmyslnou metodu, která naláká oběť do phishingové pasti. SEABORGIUM vytváří online profily, třeba na sociální sítí LinkedIn. Aktéři pomocí těchto falešných účtů kontaktují svou oběť a vybudují si s ní vztah, aby jim důvěřovala. Následně jí prostřednictvím emailu odešlou PDF soubor nebo odkaz na cloudové úložiště OneDrive, kde se příloha nachází.

Poté, co se oběť pokusí PDF dokument otevřít, se zobrazí zpráva, že jej nebylo možné zobrazit a má kliknout na tlačítko a zkusit to znovu. Celý trik spočívá v tom, že je tato zpráva podvod, soubor ve skutečnosti funguje a tlačítko oběť přemístí na phishingový web. Po zadání přihlašovacích údajů už mohou hackeři vesele krást emaily a přílohy, případně nastaví, aby se veškeré emaily odeslané na napadený účet přeposlaly přímo jim.

Microsoft uvedl, že deaktivoval účty používané ke sledování, phishingu a shromažďování emailů. Sdílel také rozsáhlý seznam domén, které jsou pravděpodobně spojeny s phishingovými kampaněmi používanými ke krádeži údajů k účtům Microsoft, ProtonMail a Yandex. Detekce proti těmto doménám byly implementovány i do Microsoft Defenderu.