Russiske statshackere utnytter enhetskode-phishing i en global cyberspionasjekampanje

En farlig bølge av nettangrep knyttet til russiske statsstøttede hackere skyller over nøkkelbransjer, og kompromitterer offentlige etater, forsvarsentreprenører, telekomfirmaer og andre organisasjoner med høy verdi. Microsoft har identifisert en sofistikert trusselaktør, sporet som Storm-2372, som utnytter enhetskode-phishing for å infiltrere kontoer og eksfiltrere sensitive data.

Denne kampanjen, aktiv siden minst august 2024, har påvirket organisasjoner over hele Nord-Amerika, Europa, Midtøsten og Afrika. Med muligheten til å omgå tradisjonelle autentiseringsmekanismer, utgjør denne angrepsmetoden en betydelig risiko for kritisk infrastruktur og nasjonal sikkerhet.

Table of Contents

Slik fungerer phishing med enhetskode

Enhetskodeautentisering er en legitim prosess som brukes til å logge på kontoer fra enheter som mangler interaktive påloggingsmuligheter, for eksempel smart-TVer eller IoT-enheter. Angripere utnytter denne funksjonen ved å lure ofre til å skrive inn en generert enhetskode på en legitim påloggingsside. Når målet har sendt inn koden, henter hackeren et tilgangstoken, og gir dem uautorisert adgang til offerets e-post, skylagring og andre sensitive systemer.

I motsetning til tradisjonell phishing, krever ikke enhetskode phishing passord – i stedet misbruker den autentiseringsflyter for å få vedvarende tilgang så lenge økttokenene forblir gyldige. Dette lar angripere bevege seg sideveis innenfor et kompromittert nettverk, eskalere privilegiene og spre seg videre i en organisasjon.

Taktikken til Storm-2372

Microsofts undersøkelse avslører at Storm-2372 har brukt svært målrettede phishing-e-poster, ofte forkledd som Microsoft Teams-møteinvitasjoner, for å lokke ofre til å gi tilgang. Gruppen bruker sosial ingeniørtaktikk via WhatsApp, Signal og Microsoft Teams, og utgir seg for å være innflytelsesrike individer som er relevante for deres mål. Når rapport er etablert, sender angriperne ondsinnede møteinvitasjoner som inneholder falske autentiseringsforespørsler.

Etter vellykket kompromittering av en konto, misbruker Storm-2372 Microsoft Graph API for å skanne innbokser etter sensitive nøkkelord som "brukernavn", "passord", "admin", "legitimasjon", "gov" og "hemmelig". De eksfiltrerer også e-poster og bruker kompromitterte kontoer for å starte ytterligere interne phishing-angrep i organisasjonen.

Siden 13. februar 2025 har hackerne utviklet taktikken sin ved å bruke Microsoft Authentication Brokers klient-ID for å skaffe oppdateringstokens. Disse tokenene lar dem registrere sine egne enheter i Entra ID, og planter effektivt en vedvarende bakdør inn i kompromitterte nettverk. For å unngå oppdagelse har Storm-2372 også blitt observert ved å bruke regionspesifikke proxy-servere for å skjule tilgangen deres.

Tilkoblinger til andre russiske hackinggrupper

Nettsikkerhetsfirmaet Volexity rapporterer at enhetskodefisking har blitt brukt til å målrette mot høyprofilerte enheter, inkludert det amerikanske utenriksdepartementet, det ukrainske forsvarsdepartementet og EU-parlamentet. I tillegg til Storm-2372, har tre andre Russland-tilknyttede hackergrupper – APT29 (Cozy Bear), UTA0304 og UTA0307 – blitt observert ved bruk av lignende teknikker.

Mens disse aktørene spores separat, antyder Volexity at de kan være en del av en enkelt koordinert kampanje, orkestrert for å samle etterretning fra vestlige myndigheter og strategiske institusjoner.

Begrensningsstrategier: Beskyttelse mot phishing av enhetskode

Organisasjoner må vedta proaktive sikkerhetstiltak for å forsvare seg mot denne nye trusselen. Slik gjør du det:

1. Deaktiver enhetskodeautentisering (hvis ikke nødvendig)

Hvis organisasjonen din ikke er avhengig av enhetskodeautentisering, kan deaktivering av den eliminere angrepsvektoren helt.

2. Aktiver Multi-Factor Authentication (MFA)

Mens enhetskodefisking omgår passord, kan aktivering av sterke MFA-metoder (som maskinvaresikkerhetsnøkler) bidra til å forhindre uautorisert tilgang.

3. Overvåk for uvanlige autentiseringsforespørsler

Sikkerhetsteam bør se etter mistenkelige påloggingsforsøk, spesielt fra ukjente steder eller enheter registrert gjennom Entra ID.

4. Utdanne ansatte i sosialteknikk

Siden angripere bruker sosiale plattformer som WhatsApp og Signal for å etablere tillit, må organisasjoner trene ansatte til å gjenkjenne etterligningstaktikker og bekrefte uventede møteforespørsler.