Az orosz állami hackerek az eszközkód-adathalászatot használják ki a globális kiberkémkedési kampányban
Az orosz állam által támogatott hackerekhez köthető kibertámadások veszélyes hulláma söpör végig a kulcsfontosságú iparágakon, és veszélyezteti a kormányzati szerveket, a védelmi vállalkozókat, a távközlési cégeket és más nagy értékű szervezeteket. A Microsoft azonosított egy kifinomult fenyegetés szereplőt, Storm-2372 néven, és az eszközkód adathalászat segítségével behatol a fiókokba és kiszivárog érzékeny adatokat.
Ez a kampány, amely legalább 2024 augusztusa óta aktív, Észak-Amerikában, Európában, a Közel-Keleten és Afrikában érintett szervezeteket. A hagyományos hitelesítési mechanizmusok megkerülésének képességével ez a támadási módszer jelentős kockázatot jelent a kritikus infrastruktúra és a nemzetbiztonság számára.
Table of Contents
Hogyan működik az eszközkód adathalászat
Az eszközkód-hitelesítés egy legitim folyamat, amellyel olyan eszközökről lehet bejelentkezni a fiókokba, amelyek nem rendelkeznek interaktív bejelentkezési képességekkel, például okostévékről vagy IoT-eszközökről. A támadók ezt a funkciót úgy használják ki, hogy ráveszik az áldozatokat egy generált eszközkód megadására egy legitim bejelentkezési oldalon. Amint a célpont elküldi a kódot, a hacker lekér egy hozzáférési tokent, így jogosulatlan belépést biztosít az áldozat e-mailjébe, felhőtárhelyébe és más érzékeny rendszereibe.
A hagyományos adathalászattal ellentétben az eszközkódos adathalászathoz nincs szükség jelszavakra, hanem visszaél a hitelesítési folyamatokkal, hogy állandó hozzáférést szerezzen mindaddig, amíg a munkamenet-tokenek érvényben maradnak. Ez lehetővé teszi a támadók számára, hogy oldalirányban mozogjanak egy feltört hálózaton belül, növelve jogosultságaikat és továbbterjedve a szervezeten belül.
A vihar taktikája-2372
A Microsoft vizsgálata feltárja, hogy a Storm-2372 erősen célzott adathalász e-maileket használt, amelyeket gyakran Microsoft Teams találkozói meghívónak álcáztak, hogy rávegyék az áldozatokat a hozzáférés megadására. A csoport szociális tervezési taktikákat alkalmaz a WhatsApp, a Signal és a Microsoft Teams segítségével, és a célpontjaik szempontjából releváns befolyásos személyeket ad ki. A kapcsolat létrejöttét követően a támadók rosszindulatú találkozó-meghívásokat küldenek, amelyek csalárd hitelesítési kérelmeket tartalmaznak.
Amikor sikeresen feltört egy fiókot, a Storm-2372 visszaél a Microsoft Graph API-val, és keresi a beérkező leveleket olyan érzékeny kulcsszavak után kutatva, mint a „felhasználónév”, „jelszó”, „adminisztrátor”, „hitelesítési adatok”, „gov” és „titkos”. Ezenkívül kiszivárogtatják az e-maileket, és feltört fiókokat használnak a szervezeten belüli további belső adathalász támadások indítására.
2025. február 13. óta a hackerek taktikájukat továbbfejlesztették, és a Microsoft Authentication Broker ügyfélazonosítóját használták a frissítési token megszerzéséhez. Ezek a tokenek lehetővé teszik számukra, hogy regisztrálják saját eszközeiket az Entra ID-n belül, így hatékonyan állandó hátsó ajtót építhetnek be a feltört hálózatokba. Az észlelés elkerülése érdekében a Storm-2372-t régió-specifikus proxyszerverekkel is megfigyelték a hozzáférés álcázására.
Kapcsolatok más orosz hackercsoportokkal
A Volexity kiberbiztonsági cég jelentése szerint az eszközkód-adathalászatot nagy horderejű entitások, köztük az Egyesült Államok külügyminisztériuma, az ukrán védelmi minisztérium és az Európai Unió Parlamentje megcélzására használták. A Storm-2372-n kívül három másik Oroszországhoz köthető hackercsoportot – APT29-et (Cozy Bear), UTA0304-et és UTA0307-et – figyeltek meg hasonló technikákkal.
Míg ezeket a szereplőket külön követik nyomon, a Volexity azt sugallja, hogy egyetlen koordinált kampány részét képezhetik, amelyet a nyugati kormányoktól és stratégiai intézményektől származó információgyűjtésre szerveztek.
Mérséklő stratégiák: Védelem az eszközkód-adathalászat ellen
A szervezeteknek proaktív biztonsági intézkedéseket kell hozniuk az újonnan megjelenő fenyegetés elleni védekezés érdekében. Íme, hogyan:
1. Tiltsa le az eszközkód-hitelesítést (ha nem szükséges)
Ha szervezete nem támaszkodik az eszközkódos hitelesítésre, annak letiltása teljesen megszüntetheti a támadási vektort.
2. Engedélyezze a többtényezős hitelesítést (MFA)
Míg az eszközkód-adathalászat megkerüli a jelszavakat, az erős MFA-módszerek (például a hardveres biztonsági kulcsok) engedélyezése segíthet megelőzni az illetéktelen hozzáférést.
3. Figyelje a szokatlan hitelesítési kérelmeket
A biztonsági csapatoknak meg kell keresniük a gyanús bejelentkezési kísérleteket, különösen ismeretlen helyekről vagy az Entra ID-n keresztül regisztrált eszközökről.
4. Az alkalmazottak szociális tervezésre való nevelése
Mivel a támadók olyan közösségi platformokat használnak, mint a WhatsApp és a Signal a bizalom megteremtésére, a szervezeteknek meg kell képezniük az alkalmazottakat a megszemélyesítési taktikák felismerésére és a váratlan értekezlet-kérések ellenőrzésére.
5. Végezze el a feltételes hozzáférési szabályzatokat
Korlátozza a hozzáférést az eszköz megbízhatósága, a földrajzi hely és a viselkedéselemzés alapján, hogy blokkolja a gyanús bejelentkezéseket, mielőtt azok sikeresek lesznek.
