NORWEGIAN SECRET SERVICE ОБЪЯВЛЯЕТ СВОИ РЕЗУЛЬТАТЫ
Но в сегодняшнем пресс-релизе PST агентство по кибербезопасности Норвегии поддержало первоначальные октябрьские обвинения правительства.
«Анализ показывает, что вполне вероятно, что операция была проведена кибер-актором, который в открытых источниках упоминается как APT28 и Fancy Bear», - заявили представители PST.
«Этот субъект связан с российской военной разведкой ГРУ, а точнее с их 85-м Центром специальных служб (ГЦСС)», - добавили они.
Представители PST заявили, что хакеры APT28 взломали учетные записи электронной почты Stortinget и попытались подключиться к внутренним сетям парламента, но потерпели неудачу.
Следователи заявили, что во вторжении виноват Стортингет, поскольку чиновники и сотрудники использовали слабые пароли электронной почты и не использовали двухфакторную аутентификацию для защиты учетных записей.
Других подробностей о вторжениях раскрыть не удалось из-за секретности взлома.
Представители PST заявили, что атака на ее парламент была частью более крупной кампании APT28, которая началась в 2019 году и нацелена на множество других целей как внутри Норвегии, так и за рубежом.
Хотя в пресс-релизе PST он не упоминается по имени, норвежское агентство кибербезопасности, похоже, ссылается на недавний отчет Microsoft, в котором подробно описывается недавний сдвиг в тактике APT28.
Согласно этому отчету, с сентября 2019 года группа APT28 начала в более широком масштабе использовать атаки методом перебора и сбора учетных данных и нацелена на учетные записи Office365, чтобы получить доступ к учетным записям электронной почты более 200 частных и государственных организаций.
Представители PST заявили, что, несмотря на связь атак с известной тактикой APT28, они не смогли собрать достаточно доказательств для предъявления официального обвинительного заключения, как это сделала ранее в этом году Германия против члена APT28, участвовавшего во взломе ее парламента (Бундестага) в 2015 г.
Группа APT28 также известна в индустрии кибербезопасности под другими названиями, включая Sofacy, Fancy Bear, Sednit, Strontium и другие. Это одна из самых активных хакерских групп, спонсируемых российским государством. Считается, что она участвовала во взломах Пентагона, парламента Германии, НАТО, DNC в 2016 году, Всемирного антидопингового агентства и многих других. Члены группы подвергаются многочисленным обвинениям и международным санкциям.
«Хотя мы не наблюдали активности, упомянутой в отчете [PST], за последние годы мы исследовали несколько операций Sofacy, нацеленных на организации в скандинавских странах», - сказал Костин Райу, директор группы глобальных исследований и анализа Kaspersky (GReAT), сказал ZDNet.
«Важно отметить, что наблюдаемые нами действия не относятся к недавнему времени и относятся к 2016-2018 гг.», - добавил Райу.
"Совсем недавно могло показаться, что Sofacy изменила свои TTP, сосредоточившись на сборе учетных данных и последующем расширении доступа с помощью облачных сервисов и различного сетевого оборудования, в отличие от традиционных операций по заражению конечных точек. Это значительно усложняет их отслеживание и обнаружение. - сказал исследователь Kaspersky Security, - сказал специалист по безопасности Kaspersky.
Но в сегодняшнем пресс-релизе PST агентство по кибербезопасности Норвегии поддержало первоначальные октябрьские обвинения правительства.
«Анализ показывает, что вполне вероятно, что операция была проведена кибер-актором, который в открытых источниках упоминается как APT28 и Fancy Bear», - заявили представители PST.
«Этот субъект связан с российской военной разведкой ГРУ, а точнее с их 85-м Центром специальных служб (ГЦСС)», - добавили они.
Представители PST заявили, что хакеры APT28 взломали учетные записи электронной почты Stortinget и попытались подключиться к внутренним сетям парламента, но потерпели неудачу.
Следователи заявили, что во вторжении виноват Стортингет, поскольку чиновники и сотрудники использовали слабые пароли электронной почты и не использовали двухфакторную аутентификацию для защиты учетных записей.
Других подробностей о вторжениях раскрыть не удалось из-за секретности взлома.
Представители PST заявили, что атака на ее парламент была частью более крупной кампании APT28, которая началась в 2019 году и нацелена на множество других целей как внутри Норвегии, так и за рубежом.
Хотя в пресс-релизе PST он не упоминается по имени, норвежское агентство кибербезопасности, похоже, ссылается на недавний отчет Microsoft, в котором подробно описывается недавний сдвиг в тактике APT28.
Согласно этому отчету, с сентября 2019 года группа APT28 начала в более широком масштабе использовать атаки методом перебора и сбора учетных данных и нацелена на учетные записи Office365, чтобы получить доступ к учетным записям электронной почты более 200 частных и государственных организаций.
Представители PST заявили, что, несмотря на связь атак с известной тактикой APT28, они не смогли собрать достаточно доказательств для предъявления официального обвинительного заключения, как это сделала ранее в этом году Германия против члена APT28, участвовавшего во взломе ее парламента (Бундестага) в 2015 г.
Группа APT28 также известна в индустрии кибербезопасности под другими названиями, включая Sofacy, Fancy Bear, Sednit, Strontium и другие. Это одна из самых активных хакерских групп, спонсируемых российским государством. Считается, что она участвовала во взломах Пентагона, парламента Германии, НАТО, DNC в 2016 году, Всемирного антидопингового агентства и многих других. Члены группы подвергаются многочисленным обвинениям и международным санкциям.
«Хотя мы не наблюдали активности, упомянутой в отчете [PST], за последние годы мы исследовали несколько операций Sofacy, нацеленных на организации в скандинавских странах», - сказал Костин Райу, директор группы глобальных исследований и анализа Kaspersky (GReAT), сказал ZDNet.
«Важно отметить, что наблюдаемые нами действия не относятся к недавнему времени и относятся к 2016-2018 гг.», - добавил Райу.
"Совсем недавно могло показаться, что Sofacy изменила свои TTP, сосредоточившись на сборе учетных данных и последующем расширении доступа с помощью облачных сервисов и различного сетевого оборудования, в отличие от традиционных операций по заражению конечных точек. Это значительно усложняет их отслеживание и обнаружение. - сказал исследователь Kaspersky Security, - сказал специалист по безопасности Kaspersky.