Hackers estatais russos exploram phishing de código de dispositivo em campanha global de espionagem cibernética
Uma onda perigosa de ataques cibernéticos ligados a hackers patrocinados pelo estado russo está varrendo indústrias importantes, comprometendo agências governamentais, contratantes de defesa, empresas de telecomunicações e outras organizações de alto valor. A Microsoft identificou um ator de ameaça sofisticado, rastreado como Storm-2372, alavancando phishing de código de dispositivo para infiltrar contas e exfiltrar dados confidenciais.
Esta campanha, ativa desde pelo menos agosto de 2024, impactou organizações na América do Norte, Europa, Oriente Médio e África. Com a capacidade de contornar mecanismos de autenticação tradicionais, este método de ataque representa um risco significativo para infraestrutura crítica e segurança nacional.
Table of Contents
Como funciona o phishing de código de dispositivo
A autenticação de código de dispositivo é um processo legítimo usado para fazer login em contas de dispositivos que não possuem recursos de login interativo, como smart TVs ou dispositivos IoT. Os invasores exploram esse recurso enganando as vítimas para que insiram um código de dispositivo gerado em uma página de login legítima. Depois que o alvo envia o código, o hacker recupera um token de acesso, concedendo a ele entrada não autorizada no e-mail, armazenamento em nuvem e outros sistemas confidenciais da vítima.
Diferentemente do phishing tradicional, o phishing de código de dispositivo não requer senhas — em vez disso, ele abusa dos fluxos de autenticação para obter acesso persistente enquanto os tokens de sessão permanecerem válidos. Isso permite que os invasores se movam lateralmente dentro de uma rede comprometida, aumentando seus privilégios e se espalhando ainda mais dentro de uma organização.
As Táticas da Tempestade-2372
A investigação da Microsoft revela que o Storm-2372 tem usado e-mails de phishing altamente direcionados, muitas vezes disfarçados como convites para reuniões do Microsoft Teams, para atrair vítimas a conceder acesso. O grupo emprega táticas de engenharia social via WhatsApp, Signal e Microsoft Teams, personificando indivíduos influentes relevantes para seus alvos. Uma vez que o relacionamento é estabelecido, os invasores enviam convites maliciosos para reuniões contendo solicitações de autenticação fraudulentas.
Após comprometer uma conta com sucesso, o Storm-2372 abusa da API do Microsoft Graph para escanear caixas de entrada em busca de palavras-chave confidenciais, como "nome de usuário", "senha", "admin", "credenciais", "gov" e "secreto". Eles também exfiltram e-mails e usam contas comprometidas para lançar mais ataques internos de phishing dentro da organização.
Desde 13 de fevereiro de 2025, os hackers evoluíram suas táticas, usando o ID do cliente do Microsoft Authentication Broker para obter tokens de atualização. Esses tokens permitem que eles registrem seus próprios dispositivos dentro do Entra ID, efetivamente plantando um backdoor persistente em redes comprometidas. Para evitar a detecção, o Storm-2372 também foi observado usando servidores proxy específicos da região para disfarçar seu acesso.
Conexões com outros grupos de hackers russos
A empresa de segurança cibernética Volexity relata que o phishing de código de dispositivo foi usado para atingir entidades de alto perfil, incluindo o Departamento de Estado dos EUA, o Ministério da Defesa da Ucrânia e o Parlamento da União Europeia. Além do Storm-2372, três outros grupos de hackers vinculados à Rússia — APT29 (Cozy Bear), UTA0304 e UTA0307 — foram observados usando técnicas semelhantes.
Embora esses atores sejam rastreados separadamente, a Volexity sugere que eles podem fazer parte de uma única campanha coordenada, orquestrada para coletar informações de governos ocidentais e instituições estratégicas.
Estratégias de mitigação: proteção contra phishing de código de dispositivo
As organizações devem adotar medidas de segurança proativas para se defender contra essa ameaça emergente. Veja como:
1. Desabilite a autenticação do código do dispositivo (se não for necessário)
Se sua organização não depende da autenticação de código de dispositivo, desativá-la pode eliminar completamente o vetor de ataque.
2. Habilite a autenticação multifator (MFA)
Embora o phishing de código de dispositivo ignore senhas, habilitar métodos MFA fortes (como chaves de segurança de hardware) pode ajudar a impedir acesso não autorizado.
3. Monitore solicitações de autenticação incomuns
As equipes de segurança devem procurar tentativas de login suspeitas, especialmente de locais desconhecidos ou dispositivos registrados pelo Entra ID.
4. Educar os funcionários sobre engenharia social
Como os invasores usam plataformas sociais como WhatsApp e Signal para estabelecer confiança, as organizações devem treinar os funcionários para reconhecer táticas de representação falsa e verificar solicitações de reunião inesperadas.
5. Implementar políticas de acesso condicional
Restrinja o acesso com base na confiança do dispositivo, localização geográfica e análise comportamental para bloquear logins suspeitos antes que eles sejam bem-sucedidos.
