Rosyjscy hakerzy państwowi wykorzystują kod urządzenia phishing w globalnej kampanii cybernetycznego szpiegostwa
Niebezpieczna fala cyberataków powiązanych z hakerami sponsorowanymi przez rosyjskie państwo ogarnia kluczowe branże, narażając agencje rządowe, wykonawców obronnych, firmy telekomunikacyjne i inne organizacje o wysokiej wartości. Microsoft zidentyfikował wyrafinowanego aktora zagrożeń, śledzonego jako Storm-2372, wykorzystującego phishing za pomocą kodu urządzenia do infiltracji kont i wykradania poufnych danych.
Ta kampania, aktywna od co najmniej sierpnia 2024 r., wpłynęła na organizacje w Ameryce Północnej, Europie, na Bliskim Wschodzie i w Afryce. Dzięki możliwości omijania tradycyjnych mechanizmów uwierzytelniania ta metoda ataku stwarza znaczne ryzyko dla krytycznej infrastruktury i bezpieczeństwa narodowego.
Table of Contents
Jak działa phishing za pomocą kodu urządzenia
Uwierzytelnianie kodu urządzenia to legalny proces używany do logowania się na konta z urządzeń, które nie mają możliwości interaktywnego logowania, takich jak inteligentne telewizory lub urządzenia IoT. Atakujący wykorzystują tę funkcję, oszukując ofiary, aby wprowadziły wygenerowany kod urządzenia na legalnej stronie logowania. Gdy cel prześle kod, haker pobiera token dostępu, przyznając mu nieautoryzowany dostęp do poczty e-mail ofiary, pamięci masowej w chmurze i innych poufnych systemów.
W przeciwieństwie do tradycyjnego phishingu, phishing kodu urządzenia nie wymaga haseł — zamiast tego nadużywa przepływów uwierzytelniania, aby uzyskać trwały dostęp, o ile tokeny sesji pozostają ważne. Umożliwia to atakującym poruszanie się bocznie w obrębie naruszonej sieci, eskalując swoje uprawnienia i rozprzestrzeniając się dalej w organizacji.
Taktyka Storm-2372
Śledztwo Microsoftu ujawnia, że Storm-2372 używał bardzo ukierunkowanych wiadomości phishingowych, często zamaskowanych jako zaproszenia na spotkania w Microsoft Teams, aby zwabić ofiary do udzielenia dostępu. Grupa stosuje taktykę socjotechniczną za pośrednictwem WhatsApp, Signal i Microsoft Teams, podszywając się pod wpływowe osoby istotne dla swoich celów. Po nawiązaniu kontaktu atakujący wysyłają złośliwe zaproszenia na spotkania zawierające fałszywe żądania uwierzytelnienia.
Po udanym włamaniu się na konto Storm-2372 nadużywa interfejsu API Microsoft Graph, aby przeskanować skrzynki odbiorcze pod kątem poufnych słów kluczowych, takich jak „nazwa użytkownika”, „hasło”, „administrator”, „dane uwierzytelniające”, „rząd” i „tajne”. Wykradanie wiadomości e-mail i wykorzystywanie przejętych kont do przeprowadzania dalszych wewnętrznych ataków phishingowych w organizacji.
Od 13 lutego 2025 r. hakerzy rozwinęli swoje taktyki, wykorzystując identyfikator klienta Microsoft Authentication Broker do uzyskania tokenów odświeżania. Te tokeny pozwalają im rejestrować własne urządzenia w Entra ID, skutecznie umieszczając trwałe tylne drzwi w naruszonych sieciach. Aby uniknąć wykrycia, zaobserwowano również, że Storm-2372 używa serwerów proxy specyficznych dla regionu, aby ukryć swój dostęp.
Połączenia z innymi rosyjskimi grupami hakerskimi
Firma zajmująca się cyberbezpieczeństwem Volexity informuje, że phishing kodów urządzeń był wykorzystywany do atakowania znanych podmiotów, w tym Departamentu Stanu USA, Ministerstwa Obrony Ukrainy i Parlamentu Unii Europejskiej. Oprócz Storm-2372, trzy inne powiązane z Rosją grupy hakerskie — APT29 (Cozy Bear), UTA0304 i UTA0307 — zostały zaobserwowane przy użyciu podobnych technik.
Choć działania tych podmiotów są śledzone osobno, Volexity sugeruje, że mogą być częścią jednej skoordynowanej kampanii, mającej na celu zbieranie informacji wywiadowczych od zachodnich rządów i instytucji strategicznych.
Strategie łagodzenia: ochrona przed phishingiem za pomocą kodu urządzenia
Organizacje muszą przyjąć proaktywne środki bezpieczeństwa, aby bronić się przed tym nowym zagrożeniem. Oto jak:
1. Wyłącz uwierzytelnianie kodu urządzenia (jeśli nie jest potrzebne)
Jeśli w Twojej organizacji nie stosuje się uwierzytelniania za pomocą kodu urządzenia, wyłączenie tej funkcji może całkowicie wyeliminować ryzyko ataku.
2. Włącz uwierzytelnianie wieloskładnikowe (MFA)
Choć ataki phishingowe z wykorzystaniem kodu urządzenia omijają hasła, włączenie silnych metod MFA (takich jak sprzętowe klucze bezpieczeństwa) może pomóc w zapobieganiu nieautoryzowanemu dostępowi.
3. Monitoruj nietypowe żądania uwierzytelnienia
Zespoły ds. bezpieczeństwa powinny zwracać uwagę na podejrzane próby logowania, zwłaszcza z nieznanych lokalizacji lub urządzeń zarejestrowanych za pomocą Entra ID.
4. Edukuj pracowników w zakresie inżynierii społecznej
Ponieważ atakujący wykorzystują platformy społecznościowe, takie jak WhatsApp i Signal, aby zbudować zaufanie, organizacje muszą szkolić swoich pracowników w zakresie rozpoznawania taktyk podszywania się i weryfikowania nieoczekiwanych próśb o spotkania.
5. Wdrażanie zasad dostępu warunkowego
Ogranicz dostęp na podstawie zaufania do urządzenia, lokalizacji geograficznej i analizy zachowań, aby zablokować podejrzane logowania, zanim do nich dojdzie.
