Ryska statliga hackare utnyttjar enhetskodsfiske i den globala cyberspionagekampanjen

En farlig våg av cyberattacker kopplade till ryska statssponsrade hackare sveper över nyckelbranscher och kompromissar med statliga myndigheter, försvarsentreprenörer, telekomföretag och andra högvärdiga organisationer. Microsoft har identifierat en sofistikerad hotaktör, spårad som Storm-2372, som utnyttjar enhetskodsnätfiske för att infiltrera konton och exfiltrera känslig data.

Denna kampanj, aktiv sedan åtminstone augusti 2024, har påverkat organisationer i Nordamerika, Europa, Mellanöstern och Afrika. Med förmågan att kringgå traditionella autentiseringsmekanismer utgör denna attackmetod en betydande risk för kritisk infrastruktur och nationell säkerhet.

Table of Contents

Hur enhetskodsfiske fungerar

Enhetskodautentisering är en legitim process som används för att logga in på konton från enheter som saknar interaktiva inloggningsmöjligheter, till exempel smarta TV-apparater eller IoT-enheter. Angripare utnyttjar denna funktion genom att lura offer att ange en genererad enhetskod på en legitim inloggningssida. När målet skickar in koden hämtar hackaren en åtkomsttoken, vilket ger dem obehörigt inträde i offrets e-post, molnlagring och andra känsliga system.

Till skillnad från traditionellt nätfiske kräver nätfiske med enhetskod inga lösenord – istället missbrukar det autentiseringsflöden för att få beständig åtkomst så länge som sessionstokensen förblir giltiga. Detta tillåter angripare att röra sig i sidled inom ett komprometterat nätverk, eskalerar sina privilegier och sprider sig vidare inom en organisation.

Taktiken för Storm-2372

Microsofts undersökning avslöjar att Storm-2372 har använt mycket riktade nätfiske-e-postmeddelanden, ofta förklädda som Microsoft Teams mötesinbjudningar, för att locka offer att ge åtkomst. Gruppen använder sig av social ingenjörsteknik via WhatsApp, Signal och Microsoft Teams, och utger sig för att vara inflytelserika individer som är relevanta för deras mål. När rapport har upprättats skickar angriparna skadliga mötesinbjudningar som innehåller bedrägliga autentiseringsförfrågningar.

Efter att ha lyckats kompromissa med ett konto missbrukar Storm-2372 Microsoft Graph API för att skanna inkorgar efter känsliga nyckelord som "användarnamn", "lösenord", "admin", "referenser", "gov" och "hemlig". De exfiltrerar även e-postmeddelanden och använder komprometterade konton för att starta ytterligare interna nätfiskeattacker inom organisationen.

Sedan den 13 februari 2025 har hackarna utvecklat sin taktik genom att använda Microsoft Authentication Brokers klient-ID för att få uppdateringstokens. Dessa tokens tillåter dem att registrera sina egna enheter inom Entra ID, vilket effektivt planterar en beständig bakdörr i komprometterade nätverk. För att undvika upptäckt har Storm-2372 också observerats använda regionspecifika proxyservrar för att dölja deras åtkomst.

Anslutningar till andra ryska hackinggrupper

Cybersäkerhetsföretaget Volexity rapporterar att enhetskodsnätfiske har använts för att rikta in sig på högprofilerade enheter, inklusive det amerikanska utrikesdepartementet, det ukrainska försvarsministeriet och EU-parlamentet. Utöver Storm-2372 har tre andra Rysslandskopplade hackningsgrupper – APT29 (Cozy Bear), UTA0304 och UTA0307 – observerats med liknande tekniker.

Även om dessa aktörer spåras separat, föreslår Volexity att de kan vara en del av en enda koordinerad kampanj, orkestrerad för att samla in underrättelser från västerländska regeringar och strategiska institutioner.

Begränsningsstrategier: Skydd mot enhetskodnätfiske

Organisationer måste vidta proaktiva säkerhetsåtgärder för att försvara sig mot detta framväxande hot. Så här gör du:

1. Inaktivera enhetskodautentisering (om det inte behövs)

Om din organisation inte förlitar sig på enhetskodautentisering kan det eliminera attackvektorn helt och hållet om du inaktiverar den.

2. Aktivera Multi-Factor Authentication (MFA)

Medan enhetskodsnätfiske kringgår lösenord, kan aktivering av starka MFA-metoder (som hårdvarusäkerhetsnycklar) hjälpa till att förhindra obehörig åtkomst.

3. Övervaka för ovanliga autentiseringsförfrågningar

Säkerhetsteam bör leta efter misstänkta inloggningsförsök, särskilt från okända platser eller enheter registrerade via Entra ID.

4. Utbilda anställda om social teknik

Eftersom angripare använder sociala plattformar som WhatsApp och Signal för att skapa förtroende, måste organisationer utbilda anställda att känna igen identitetsstrategier och verifiera oväntade mötesförfrågningar.