Rusijos valstybės įsilaužėliai išnaudoja sukčiavimą įrenginių kodais pasaulinėje kibernetinio šnipinėjimo kampanijoje
Pavojinga kibernetinių atakų, susijusių su Rusijos valstybės remiamais įsilaužėliais, banga nusirita per pagrindines pramonės šakas, kompromituodami vyriausybines agentūras, gynybos rangovus, telekomunikacijų įmones ir kitas didelės vertės organizacijas. „Microsoft“ nustatė sudėtingą grėsmės veikėją, stebimą kaip „Storm-2372“, naudojantį įrenginio kodo sukčiavimą, kad įsiskverbtų į paskyras ir išfiltruotų neskelbtinus duomenis.
Ši kampanija, aktyvi mažiausiai nuo 2024 m. rugpjūčio mėn., paveikė organizacijas Šiaurės Amerikoje, Europoje, Artimuosiuose Rytuose ir Afrikoje. Galimybė apeiti tradicinius autentifikavimo mechanizmus, šis atakos metodas kelia didelį pavojų kritinei infrastruktūrai ir nacionaliniam saugumui.
Table of Contents
Kaip veikia įrenginio kodo sukčiavimas
Įrenginio kodo autentifikavimas yra teisėtas procesas, naudojamas prisijungti prie paskyrų iš įrenginių, kuriuose nėra interaktyvaus prisijungimo galimybių, pvz., išmaniųjų televizorių ar daiktų interneto įrenginių. Užpuolikai išnaudoja šią funkciją, apgaudinėdami aukas teisėtame prisijungimo puslapyje įvesti sugeneruotą įrenginio kodą. Kai taikinys pateikia kodą, įsilaužėlis nuskaito prieigos prieigos raktą, suteikdamas jiems neteisėtą prieigą prie aukos el. pašto, debesies saugyklos ir kitų jautrių sistemų.
Skirtingai nuo įprasto sukčiavimo, įrenginio kodo sukčiavimui nereikia slaptažodžių, o piktnaudžiaujama autentifikavimo srautais, kad gautų nuolatinę prieigą, kol galioja seanso prieigos raktai. Tai leidžia užpuolikams judėti į šoną pažeistame tinkle, padidinti savo privilegijas ir toliau plisti organizacijoje.
Audros taktika-2372
„Microsoft“ tyrimas atskleidė, kad „Storm-2372“ naudojo labai tikslinius sukčiavimo el. laiškus, dažnai užmaskuotus kaip „Microsoft Teams“ susitikimų kvietimai, kad priviliotų aukas suteikti prieigą. Grupė taiko socialinės inžinerijos taktiką per WhatsApp, Signal ir Microsoft Teams, apsimetinėdama įtakingais asmenimis, susijusiais su jų tikslais. Užmezgę ryšį, užpuolikai siunčia kenkėjiškus susitikimų kvietimus su apgaulingomis autentifikavimo užklausomis.
Sėkmingai pakenkus paskyrai, „Storm-2372“ piktnaudžiauja „Microsoft Graph“ API, siekdama nuskaityti gautuosius, ieškodama jautrių raktinių žodžių, tokių kaip „vartotojo vardas“, „slaptažodis“, „administratorius“, „kredencialai“, „gov“ ir „slaptas“. Jie taip pat išfiltruoja el. laiškus ir naudoja pažeistas paskyras, kad galėtų pradėti tolesnius vidinius sukčiavimo išpuolius organizacijoje.
Nuo 2025 m. vasario 13 d. įsilaužėliai tobulino savo taktiką, naudodami „Microsoft Authentication Broker“ kliento ID, kad gautų atnaujinimo prieigos raktus. Šie žetonai leidžia jiems užregistruoti savo įrenginius „Entra ID“, o tai veiksmingai sukuria nuolatines užpakalines duris į pažeistus tinklus. Kad būtų išvengta aptikimo, „Storm-2372“ taip pat buvo pastebėta naudojant regionui būdingus tarpinius serverius, kad užmaskuotų jų prieigą.
Ryšiai su kitomis Rusijos įsilaužimo grupėmis
Kibernetinio saugumo įmonė „Volexity“ praneša, kad sukčiavimas įrenginio kodu buvo naudojamas siekiant nukreipti į aukšto lygio subjektus, įskaitant JAV valstybės departamentą, Ukrainos gynybos ministeriją ir Europos Sąjungos parlamentą. Be Storm-2372, buvo pastebėtos dar trys su Rusija susijusios įsilaužimo grupės – APT29 (Jaukus lokys), UTA0304 ir UTA0307, naudojant panašius metodus.
Nors šie veikėjai yra sekami atskirai, „Volexity“ teigia, kad jie gali būti vienos koordinuotos kampanijos, surengtos rinkti žvalgybos informaciją iš Vakarų vyriausybių ir strateginių institucijų, dalis.
Sušvelninimo strategijos: apsauga nuo sukčiavimo įrenginio kodu
Organizacijos turi imtis aktyvių saugumo priemonių, kad apsisaugotų nuo šios kylančios grėsmės. Štai kaip:
1. Išjunkite įrenginio kodo autentifikavimą (jei nereikia)
Jei jūsų organizacija nepasitiki įrenginio kodo autentifikavimu, jį išjungus, atakos vektorius gali būti visiškai pašalintas.
2. Įgalinkite kelių veiksnių autentifikavimą (MFA)
Nors sukčiavimas įrenginio kodu apeina slaptažodžius, stiprių MFA metodų (pvz., aparatinės įrangos saugos raktų) įgalinimas gali padėti išvengti neteisėtos prieigos.
3. Stebėkite, ar nėra neįprastų autentifikavimo užklausų
Apsaugos komandos turėtų ieškoti įtartinų bandymų prisijungti, ypač iš nepažįstamų vietų arba įrenginių, užregistruotų naudojant „Entra ID“.
4. Mokyti darbuotojus socialinės inžinerijos klausimais
Kadangi užpuolikai pasitikėjimui sukurti naudoja socialines platformas, tokias kaip WhatsApp ir Signal, organizacijos turi mokyti darbuotojus atpažinti apsimetinėjimo taktiką ir patikrinti netikėtus susitikimų prašymus.
5. Įdiekite sąlyginės prieigos politiką
Apribokite prieigą pagal įrenginio pasitikėjimą, geografinę vietą ir elgsenos analizę, kad užblokuotumėte įtartinus prisijungimus prieš jiems pasisekus.
