Gli hacker statali russi sfruttano il codice di phishing dei dispositivi in una campagna globale di cyber spionaggio
Un'ondata pericolosa di attacchi informatici collegati ad hacker sponsorizzati dallo stato russo sta travolgendo settori chiave, compromettendo agenzie governative, appaltatori della difesa, aziende di telecomunicazioni e altre organizzazioni di alto valore. Microsoft ha identificato un sofisticato attore di minacce, tracciato come Storm-2372, che sfrutta il phishing del codice del dispositivo per infiltrarsi negli account ed esfiltrare dati sensibili.
Questa campagna, attiva almeno da agosto 2024, ha avuto un impatto su organizzazioni in Nord America, Europa, Medio Oriente e Africa. Grazie alla capacità di bypassare i meccanismi di autenticazione tradizionali, questo metodo di attacco rappresenta un rischio significativo per le infrastrutture critiche e la sicurezza nazionale.
Table of Contents
Come funziona il phishing del codice del dispositivo
L'autenticazione del codice dispositivo è un processo legittimo utilizzato per accedere agli account da dispositivi privi di funzionalità di accesso interattivo, come smart TV o dispositivi IoT. Gli aggressori sfruttano questa funzionalità inducendo le vittime a immettere un codice dispositivo generato su una pagina di accesso legittima. Una volta che la vittima invia il codice, l'hacker recupera un token di accesso, che gli garantisce l'accesso non autorizzato all'e-mail, all'archiviazione cloud e ad altri sistemi sensibili della vittima.
A differenza del phishing tradizionale, il phishing del codice del dispositivo non richiede password, ma sfrutta i flussi di autenticazione per ottenere un accesso persistente finché i token di sessione rimangono validi. Ciò consente agli aggressori di muoversi lateralmente all'interno di una rete compromessa, aumentando i propri privilegi e diffondendosi ulteriormente all'interno di un'organizzazione.
Le tattiche di Storm-2372
L'indagine di Microsoft rivela che Storm-2372 ha utilizzato e-mail di phishing altamente mirate, spesso camuffate da inviti a riunioni di Microsoft Teams, per indurre le vittime a concedere l'accesso. Il gruppo impiega tattiche di ingegneria sociale tramite WhatsApp, Signal e Microsoft Teams, impersonando individui influenti rilevanti per i loro obiettivi. Una volta stabilito il rapporto, gli aggressori inviano inviti a riunioni dannosi contenenti richieste di autenticazione fraudolente.
Dopo aver compromesso con successo un account, Storm-2372 sfrutta l'API Microsoft Graph per analizzare le caselle di posta in arrivo alla ricerca di parole chiave sensibili quali "nome utente", "password", "admin", "credenziali", "gov" e "segreto". Inoltre, estrae e-mail e utilizza account compromessi per lanciare ulteriori attacchi di phishing interni all'organizzazione.
Dal 13 febbraio 2025, gli hacker hanno evoluto le loro tattiche, utilizzando l'ID client di Microsoft Authentication Broker per ottenere token di aggiornamento. Questi token consentono loro di registrare i propri dispositivi all'interno dell'ID Entra, inserendo di fatto una backdoor persistente nelle reti compromesse. Per evitare di essere rilevati, Storm-2372 è stato anche osservato mentre utilizzava server proxy specifici per regione per mascherare il proprio accesso.
Collegamenti con altri gruppi di hacker russi
La società di sicurezza informatica Volexity segnala che il phishing del codice del dispositivo è stato utilizzato per colpire entità di alto profilo, tra cui il Dipartimento di Stato degli Stati Uniti, il Ministero della Difesa ucraino e il Parlamento dell'Unione Europea. Oltre a Storm-2372, altri tre gruppi di hacker legati alla Russia, APT29 (Cozy Bear), UTA0304 e UTA0307, sono stati osservati mentre utilizzavano tecniche simili.
Sebbene questi attori vengano monitorati separatamente, Volexity suggerisce che potrebbero far parte di un'unica campagna coordinata, orchestrata per raccogliere informazioni dai governi occidentali e dalle istituzioni strategiche.
Strategie di mitigazione: protezione contro il phishing del codice del dispositivo
Le organizzazioni devono adottare misure di sicurezza proattive per difendersi da questa minaccia emergente. Ecco come:
1. Disattivare l'autenticazione del codice dispositivo (se non necessario)
Se la tua organizzazione non si affida all'autenticazione tramite codice dispositivo, disabilitandola puoi eliminare del tutto il vettore di attacco.
2. Abilitare l'autenticazione a più fattori (MFA)
Sebbene il phishing del codice del dispositivo bypassi le password, l'attivazione di metodi MFA avanzati (come le chiavi di sicurezza hardware) può aiutare a prevenire l'accesso non autorizzato.
3. Monitorare le richieste di autenticazione insolite
I team addetti alla sicurezza devono prestare attenzione ai tentativi di accesso sospetti, in particolare quelli provenienti da postazioni sconosciute o da dispositivi registrati tramite Entra ID.
4. Istruire i dipendenti sull'ingegneria sociale
Poiché gli aggressori utilizzano piattaforme social come WhatsApp e Signal per creare un rapporto di fiducia, le organizzazioni devono formare i dipendenti a riconoscere le tattiche di sostituzione di persona e a verificare le richieste di riunione inaspettate.
5. Implementare policy di accesso condizionale
Limita l'accesso in base all'affidabilità del dispositivo, alla posizione geografica e all'analisi comportamentale per bloccare gli accessi sospetti prima che vadano a buon fine.
