Российские государственные хакеры используют фишинговый код устройства в глобальной кампании кибершпионажа
Опасная волна кибератак, связанных с хакерами, спонсируемыми российским государством, охватывает ключевые отрасли, ставя под угрозу государственные учреждения, оборонных подрядчиков, телекоммуникационные компании и другие высокодоходные организации. Microsoft выявила сложного субъекта угроз, отслеживаемого как Storm-2372, который использует фишинг кодов устройств для проникновения в учетные записи и кражи конфиденциальных данных.
Эта кампания, действующая по крайней мере с августа 2024 года, затронула организации в Северной Америке, Европе, на Ближнем Востоке и в Африке. Благодаря возможности обходить традиционные механизмы аутентификации этот метод атаки представляет значительный риск для критической инфраструктуры и национальной безопасности.
Table of Contents
Как работает фишинг кода устройства
Аутентификация кода устройства — это законный процесс, используемый для входа в учетные записи с устройств, не имеющих возможности интерактивного входа, таких как смарт-телевизоры или устройства IoT. Злоумышленники используют эту функцию, обманывая жертв, заставляя их вводить сгенерированный код устройства на законной странице входа. После того, как цель отправляет код, хакер получает токен доступа, предоставляя им несанкционированный доступ к электронной почте жертвы, облачному хранилищу и другим конфиденциальным системам.
В отличие от традиционного фишинга, фишинг кода устройства не требует паролей — вместо этого он злоупотребляет потоками аутентификации, чтобы получить постоянный доступ, пока токены сеанса остаются действительными. Это позволяет злоумышленникам перемещаться горизонтально внутри скомпрометированной сети, повышая свои привилегии и распространяясь дальше внутри организации.
Тактика Шторма-2372
Расследование Microsoft показывает, что Storm-2372 использовал высокоцелевые фишинговые письма, часто замаскированные под приглашения на встречи Microsoft Teams, чтобы заманить жертв к предоставлению доступа. Группа использует тактику социальной инженерии через WhatsApp, Signal и Microsoft Teams, выдавая себя за влиятельных лиц, имеющих отношение к их целям. После установления контакта злоумышленники отправляют вредоносные приглашения на встречи, содержащие мошеннические запросы аутентификации.
После успешного взлома учетной записи Storm-2372 использует API Microsoft Graph для сканирования почтовых ящиков на наличие таких конфиденциальных ключевых слов, как «имя пользователя», «пароль», «администратор», «учетные данные», «gov» и «секрет». Они также извлекают электронные письма и используют взломанные учетные записи для запуска дальнейших внутренних фишинговых атак внутри организации.
С 13 февраля 2025 года хакеры усовершенствовали свою тактику, используя идентификатор клиента Microsoft Authentication Broker для получения токенов обновления. Эти токены позволяют им регистрировать собственные устройства в Entra ID, эффективно внедряя постоянный бэкдор в скомпрометированные сети. Чтобы избежать обнаружения, Storm-2372 также был замечен в использовании региональных прокси-серверов для маскировки своего доступа.
Связи с другими российскими хакерскими группами
Компания по кибербезопасности Volexity сообщает, что фишинг кодов устройств использовался для атак на высокопоставленные организации, включая Государственный департамент США, Министерство обороны Украины и Парламент Европейского союза. Помимо Storm-2372, были замечены три другие хакерские группы, связанные с Россией, — APT29 (Cozy Bear), UTA0304 и UTA0307 — которые использовали аналогичные методы.
Хотя эти субъекты отслеживаются по отдельности, Volexity предполагает, что они могут быть частью единой скоординированной кампании, организованной с целью сбора разведывательной информации у западных правительств и стратегических институтов.
Стратегии смягчения: защита от фишинга кода устройства
Организации должны принять упреждающие меры безопасности для защиты от этой новой угрозы. Вот как:
1. Отключите аутентификацию кода устройства (если не требуется)
Если в вашей организации не используется аутентификация кода устройства, ее отключение может полностью исключить вектор атаки.
2. Включите многофакторную аутентификацию (MFA)
Хотя фишинг кода устройства позволяет обойти пароли, использование надежных методов MFA (например, аппаратных ключей безопасности) может помочь предотвратить несанкционированный доступ.
3. Отслеживайте необычные запросы аутентификации
Службам безопасности следует обращать внимание на подозрительные попытки входа в систему, особенно из незнакомых мест или с устройств, зарегистрированных через Entra ID.
4. Обучайте сотрудников социальной инженерии
Поскольку злоумышленники используют социальные платформы, такие как WhatsApp и Signal, для установления доверия, организациям необходимо обучать сотрудников распознавать тактику выдачи себя за другое лицо и проверять неожиданные запросы на встречи.
5. Внедрите политики условного доступа
Ограничьте доступ на основе доверия к устройству, географического местоположения и поведенческой аналитики, чтобы блокировать подозрительные попытки входа до того, как они будут успешными.
