Ρώσοι κρατικοί χάκερ εκμεταλλεύονται τον κώδικα συσκευής ηλεκτρονικού ψαρέματος σε μια παγκόσμια εκστρατεία κατασκοπείας στον κυβερνοχώρο
Ένα επικίνδυνο κύμα επιθέσεων στον κυβερνοχώρο που συνδέεται με ρωσικά κρατικά επιχορηγούμενα χάκερ σαρώνει βασικές βιομηχανίες, διακυβεύοντας κυβερνητικές υπηρεσίες, αμυντικούς εργολάβους, εταιρείες τηλεπικοινωνιών και άλλους οργανισμούς υψηλής αξίας. Η Microsoft εντόπισε έναν εξελιγμένο παράγοντα απειλής, ο οποίος παρακολουθείται ως Storm-2372, ο οποίος αξιοποιεί το ηλεκτρονικό ψάρεμα κωδικών συσκευής για να διεισδύσει σε λογαριασμούς και να διεισδύσει ευαίσθητα δεδομένα.
Αυτή η καμπάνια, η οποία είναι ενεργή τουλάχιστον από τον Αύγουστο του 2024, έχει επηρεάσει οργανισμούς σε όλη τη Βόρεια Αμερική, την Ευρώπη, τη Μέση Ανατολή και την Αφρική. Με τη δυνατότητα παράκαμψης των παραδοσιακών μηχανισμών ελέγχου ταυτότητας, αυτή η μέθοδος επίθεσης ενέχει σημαντικό κίνδυνο για κρίσιμες υποδομές και την εθνική ασφάλεια.
Table of Contents
Πώς λειτουργεί το Phishing με Κώδικα Συσκευής
Ο έλεγχος ταυτότητας με κωδικό συσκευής είναι μια νόμιμη διαδικασία που χρησιμοποιείται για τη σύνδεση σε λογαριασμούς από συσκευές που δεν διαθέτουν δυνατότητες διαδραστικής σύνδεσης, όπως έξυπνες τηλεοράσεις ή συσκευές IoT. Οι εισβολείς εκμεταλλεύονται αυτή τη δυνατότητα εξαπατώντας τα θύματα να εισαγάγουν έναν κωδικό συσκευής που δημιουργήθηκε σε μια νόμιμη σελίδα σύνδεσης. Μόλις ο στόχος υποβάλει τον κώδικα, ο χάκερ ανακτά ένα διακριτικό πρόσβασης, παρέχοντάς του μη εξουσιοδοτημένη είσοδο στο email του θύματος, στο χώρο αποθήκευσης cloud και σε άλλα ευαίσθητα συστήματα.
Σε αντίθεση με το παραδοσιακό ηλεκτρονικό ψάρεμα, το ηλεκτρονικό ψάρεμα κωδικών συσκευής δεν απαιτεί κωδικούς πρόσβασης—αντίθετα, καταχράται τις ροές ελέγχου ταυτότητας για να αποκτήσει μόνιμη πρόσβαση όσο τα διακριτικά περιόδου λειτουργίας παραμένουν έγκυρα. Αυτό επιτρέπει στους εισβολείς να κινούνται πλευρικά μέσα σε ένα παραβιασμένο δίκτυο, κλιμακώνοντας τα προνόμιά τους και εξαπλώνοντας περαιτέρω μέσα σε έναν οργανισμό.
The Tactics of Storm-2372
Η έρευνα της Microsoft αποκαλύπτει ότι το Storm-2372 χρησιμοποιούσε ιδιαίτερα στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος, συχνά μεταμφιεσμένα ως προσκλήσεις συνάντησης ομάδων της Microsoft, για να δελεάσει τα θύματα να παραχωρήσουν πρόσβαση. Η ομάδα χρησιμοποιεί τακτικές κοινωνικής μηχανικής μέσω WhatsApp, Signal και Microsoft Teams, υποδυόμενοι άτομα με επιρροή που σχετίζονται με τους στόχους τους. Μόλις δημιουργηθεί η σχέση, οι εισβολείς στέλνουν κακόβουλες προσκλήσεις σε σύσκεψη που περιέχουν δόλια αιτήματα ελέγχου ταυτότητας.
Μετά την επιτυχή παραβίαση ενός λογαριασμού, το Storm-2372 καταχράται το Microsoft Graph API για να σαρώσει τα εισερχόμενα για ευαίσθητες λέξεις-κλειδιά όπως "όνομα χρήστη", "κωδικός πρόσβασης", "διαχειριστής", "διαπιστευτήρια", "κυβέρνηση" και "μυστικό". Διεγείρουν επίσης email και χρησιμοποιούν παραβιασμένους λογαριασμούς για να εξαπολύσουν περαιτέρω εσωτερικές επιθέσεις phishing εντός του οργανισμού.
Από τις 13 Φεβρουαρίου 2025, οι χάκερ έχουν εξελίξει τις τακτικές τους, χρησιμοποιώντας το αναγνωριστικό πελάτη του Microsoft Authentication Broker για να αποκτήσουν διακριτικά ανανέωσης. Αυτά τα διακριτικά τους επιτρέπουν να καταχωρούν τις δικές τους συσκευές στο Entra ID, εγκαθιστώντας ουσιαστικά μια επίμονη κερκόπορτα σε παραβιασμένα δίκτυα. Για να αποφευχθεί ο εντοπισμός, το Storm-2372 έχει επίσης παρατηρηθεί χρησιμοποιώντας διακομιστές μεσολάβησης για συγκεκριμένες περιοχές για να συγκαλύψει την πρόσβασή τους.
Συνδέσεις με άλλες ρωσικές ομάδες χάκερ
Η εταιρεία κυβερνοασφάλειας Volexity αναφέρει ότι το ηλεκτρονικό ψάρεμα κωδικών συσκευής έχει χρησιμοποιηθεί για να στοχεύσει οντότητες υψηλού προφίλ, όπως το Υπουργείο Εξωτερικών των ΗΠΑ, το Υπουργείο Άμυνας της Ουκρανίας και το Κοινοβούλιο της Ευρωπαϊκής Ένωσης. Εκτός από το Storm-2372, τρεις άλλες ομάδες hacking που συνδέονται με τη Ρωσία—APT29 (Cozy Bear), UTA0304 και UTA0307—έχουν παρατηρηθεί χρησιμοποιώντας παρόμοιες τεχνικές.
Ενώ αυτοί οι ηθοποιοί παρακολουθούνται χωριστά, το Volexity προτείνει ότι μπορεί να αποτελούν μέρος μιας ενιαίας συντονισμένης εκστρατείας, ενορχηστρωμένης για τη συλλογή πληροφοριών από δυτικές κυβερνήσεις και στρατηγικούς θεσμούς.
Στρατηγικές μετριασμού: Προστασία από ηλεκτρονικό ψάρεμα κωδικών συσκευής
Οι οργανισμοί πρέπει να υιοθετήσουν προληπτικά μέτρα ασφαλείας για να αμυνθούν έναντι αυτής της αναδυόμενης απειλής. Δείτε πώς:
1. Απενεργοποιήστε τον έλεγχο ταυτότητας με κωδικό συσκευής (εάν δεν απαιτείται)
Εάν ο οργανισμός σας δεν βασίζεται στον έλεγχο ταυτότητας κωδικού συσκευής, η απενεργοποίησή του μπορεί να εξαλείψει εντελώς το διάνυσμα επίθεσης.
2. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA)
Ενώ το ηλεκτρονικό ψάρεμα κωδικών συσκευής παρακάμπτει τους κωδικούς πρόσβασης, η ενεργοποίηση ισχυρών μεθόδων MFA (όπως τα κλειδιά ασφαλείας υλικού) μπορεί να βοηθήσει στην αποτροπή μη εξουσιοδοτημένης πρόσβασης.
3. Παρακολούθηση για ασυνήθιστα αιτήματα ελέγχου ταυτότητας
Οι ομάδες ασφαλείας θα πρέπει να αναζητούν ύποπτες προσπάθειες σύνδεσης, ειδικά από άγνωστες τοποθεσίες ή συσκευές που έχουν καταχωριστεί μέσω του Entra ID.
4. Εκπαίδευση των εργαζομένων σε θέματα Κοινωνικής Μηχανικής
Δεδομένου ότι οι εισβολείς χρησιμοποιούν κοινωνικές πλατφόρμες όπως το WhatsApp και το Signal για να δημιουργήσουν εμπιστοσύνη, οι οργανισμοί πρέπει να εκπαιδεύουν τους υπαλλήλους να αναγνωρίζουν τις τακτικές πλαστοπροσωπίας και να επαληθεύουν απροσδόκητα αιτήματα συνάντησης.
5. Εφαρμογή πολιτικών πρόσβασης υπό όρους
Περιορίστε την πρόσβαση με βάση την αξιοπιστία της συσκευής, τη γεωγραφική τοποθεσία και τα αναλυτικά στοιχεία συμπεριφοράς για να αποκλείσετε ύποπτες συνδέσεις προτού επιτύχουν.
