Des pirates informatiques russes exploitent le phishing de codes d'appareils dans le cadre d'une campagne mondiale de cyberespionnage
Une vague dangereuse de cyberattaques liées à des pirates informatiques sponsorisés par l'État russe déferle sur des secteurs clés, compromettant des agences gouvernementales, des entreprises de défense, des sociétés de télécommunications et d'autres organisations de grande valeur. Microsoft a identifié un acteur de menace sophistiqué, suivi sous le nom de Storm-2372, exploitant le phishing de code d'appareil pour infiltrer des comptes et exfiltrer des données sensibles.
Cette campagne, active depuis au moins août 2024, a touché des organisations en Amérique du Nord, en Europe, au Moyen-Orient et en Afrique. Avec la possibilité de contourner les mécanismes d'authentification traditionnels, cette méthode d'attaque présente un risque important pour les infrastructures critiques et la sécurité nationale.
Table of Contents
Comment fonctionne le phishing par code d'appareil
L'authentification par code d'appareil est un processus légitime utilisé pour se connecter à des comptes à partir d'appareils dépourvus de fonctionnalités de connexion interactive, tels que les téléviseurs intelligents ou les appareils IoT. Les attaquants exploitent cette fonctionnalité en incitant les victimes à saisir un code d'appareil généré sur une page de connexion légitime. Une fois que la cible a soumis le code, le pirate récupère un jeton d'accès, lui permettant d'accéder sans autorisation à la messagerie électronique, au stockage cloud et à d'autres systèmes sensibles de la victime.
Contrairement au phishing traditionnel, le phishing par code d'appareil ne nécessite pas de mots de passe. Au lieu de cela, il exploite les flux d'authentification pour obtenir un accès permanent tant que les jetons de session restent valides. Cela permet aux attaquants de se déplacer latéralement au sein d'un réseau compromis, d'augmenter leurs privilèges et de se propager davantage au sein d'une organisation.
Les tactiques de Storm-2372
L'enquête de Microsoft révèle que Storm-2372 a utilisé des e-mails de phishing très ciblés, souvent déguisés en invitations à des réunions Microsoft Teams, pour inciter les victimes à accorder l'accès. Le groupe utilise des tactiques d'ingénierie sociale via WhatsApp, Signal et Microsoft Teams, se faisant passer pour des personnes influentes en rapport avec leurs cibles. Une fois le contact établi, les attaquants envoient des invitations à des réunions malveillantes contenant des demandes d'authentification frauduleuses.
Après avoir réussi à compromettre un compte, Storm-2372 utilise l'API Microsoft Graph pour analyser les boîtes de réception à la recherche de mots-clés sensibles tels que « nom d'utilisateur », « mot de passe », « admin », « informations d'identification », « gov » et « secret ». Ils exfiltrent également les e-mails et utilisent les comptes compromis pour lancer d'autres attaques de phishing internes au sein de l'organisation.
Depuis le 13 février 2025, les pirates ont fait évoluer leurs tactiques, utilisant l'identifiant client de Microsoft Authentication Broker pour obtenir des jetons d'actualisation. Ces jetons leur permettent d'enregistrer leurs propres appareils dans Entra ID, implantant ainsi une porte dérobée persistante dans les réseaux compromis. Pour éviter d'être détecté, Storm-2372 a également été observé en train d'utiliser des serveurs proxy spécifiques à la région pour dissimuler son accès.
Connexions avec d’autres groupes de hackers russes
L'entreprise de cybersécurité Volexity rapporte que le phishing de codes d'appareils a été utilisé pour cibler des entités de premier plan, notamment le département d'État américain, le ministère ukrainien de la Défense et le Parlement de l'Union européenne. En plus de Storm-2372, trois autres groupes de piratage liés à la Russie, APT29 (Cozy Bear), UTA0304 et UTA0307, ont été observés en train d'utiliser des techniques similaires.
Bien que ces acteurs soient suivis séparément, Volexity suggère qu’ils pourraient faire partie d’une seule campagne coordonnée, orchestrée pour recueillir des renseignements auprès des gouvernements occidentaux et des institutions stratégiques.
Stratégies d'atténuation : protection contre le phishing des codes d'appareils
Les organisations doivent adopter des mesures de sécurité proactives pour se défendre contre cette menace émergente. Voici comment procéder :
1. Désactiver l'authentification par code de périphérique (si elle n'est pas nécessaire)
Si votre organisation ne s’appuie pas sur l’authentification par code d’appareil, sa désactivation peut éliminer complètement le vecteur d’attaque.
2. Activer l'authentification multifacteur (MFA)
Bien que le phishing de code d'appareil contourne les mots de passe, l'activation de méthodes MFA fortes (telles que les clés de sécurité matérielles) peut aider à empêcher tout accès non autorisé.
3. Surveillez les demandes d'authentification inhabituelles
Les équipes de sécurité doivent rechercher les tentatives de connexion suspectes, en particulier celles provenant d'emplacements inconnus ou d'appareils enregistrés via Entra ID.
4. Sensibiliser les employés à l’ingénierie sociale
Étant donné que les attaquants utilisent des plateformes sociales comme WhatsApp et Signal pour établir la confiance, les organisations doivent former leurs employés à reconnaître les tactiques d’usurpation d’identité et à vérifier les demandes de réunion inattendues.
5. Mettre en œuvre des politiques d’accès conditionnel
Limitez l'accès en fonction de la confiance accordée à l'appareil, de l'emplacement géographique et des analyses comportementales pour bloquer les connexions suspectes avant qu'elles ne réussissent.
