Μια νέα εξελιγμένη εκστρατεία κυβερνοεπιθέσεων έχει εντοπιστεί, με στόχο λογαριασμούς Microsoft 365 σε τομείς υψηλής σημασίας, χρησιμοποιώντας τεχνικές phishing που βασίζονται σε κωδικούς συσκευών. Σύμφωνα με την Microsoft, η απειλή αποδίδεται σε μια ομάδα με πιθανές διασυνδέσεις με τη Ρωσία, γνωστή ως ‘Storm-2372’.
Η επίθεση εστιάζει σε κυβερνήσεις, ΜΚΟ, παρόχους τεχνολογίας και τηλεπικοινωνιών, καθώς και σε τομείς όπως η άμυνα, η υγεία και η ενέργεια. Οι χάκερ χρησιμοποιούν έξυπνες τεχνικές κοινωνικής μηχανικής για να παρασύρουν τα θύματα και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε κρίσιμα δεδομένα.
Πώς λειτουργεί η νέα απειλή
Η μέθοδος αυτή εκμεταλλεύεται τον μηχανισμό ταυτοποίησης κωδικών συσκευών, ο οποίος έχει σχεδιαστεί για χρήση από συσκευές με περιορισμένη εισαγωγή δεδομένων (π.χ. smart TVs, IoT). Οι επιτιθέμενοι εξαπατούν τους χρήστες ώστε να εισάγουν κακόβουλους κωδικούς σε νόμιμες σελίδες σύνδεσης της Microsoft.
Αρχικά, οι χάκερ έρχονται σε επαφή με το θύμα, προσποιούμενοι κάποιο σημαντικό πρόσωπο μέσω εφαρμογών όπως WhatsApp, Signal ή Microsoft Teams. Στη συνέχεια, χτίζουν μια σχέση εμπιστοσύνης και στέλνουν μια ψεύτικη πρόσκληση για διαδικτυακή συνάντηση, που περιλαμβάνει έναν κωδικό συσκευής που έχει δημιουργηθεί από τους ίδιους.
Μόλις το θύμα εισάγει τον κωδικό στη σελίδα ταυτοποίησης, οι επιτιθέμενοι αποκτούν πρόσβαση στις υπηρεσίες της Microsoft (emails, αποθηκευμένα αρχεία στο cloud) χωρίς να απαιτείται η εισαγωγή κωδικού πρόσβασης.
Σύμφωνα με νέες αναφορές, οι χάκερ πλέον εκμεταλλεύονται συγκεκριμένο client ID του Microsoft Authentication Broker, το οποίο τους επιτρέπει να ανανεώνουν τα tokens και να διατηρούν την πρόσβασή τους για μεγαλύτερο διάστημα. Ακόμη πιο επικίνδυνο είναι ότι μπορούν να καταχωρούν συσκευές στο Entra ID, διευρύνοντας τις δυνατότητες επιθέσεων και διατήρησης της πρόσβασης.
Επιπτώσεις και κίνδυνοι
- Διαρροή κρίσιμων emails και ευαίσθητων εγγράφων
- Κακόβουλη πρόσβαση σε υποδομές cloud
- Μακροχρόνια παρακολούθηση λογαριασμών μέσω διατηρούμενων tokens
Οι επιθέσεις αυτού του τύπου είναι ιδιαίτερα ανησυχητικές, καθώς παρακάμπτουν τις κλασικές δικλείδες ασφαλείας, εκμεταλλευόμενες εγκεκριμένες διαδικασίες ταυτοποίησης.
Πώς να προστατευθείτε
Για την αποτροπή τέτοιων επιθέσεων, η Microsoft προτείνει:
- Απενεργοποίηση της ταυτοποίησης με κωδικό συσκευής όπου είναι εφικτό.
- Εφαρμογή αυστηρών πολιτικών Conditional Access στο Microsoft Entra ID, περιορίζοντας τη χρήση της διαδικασίας σε αξιόπιστες συσκευές και δίκτυα.
- Άμεση ανάκληση refresh tokens των πιθανών θυμάτων με την εντολή
revokeSignInSessions. - Ενεργοποίηση ειδοποιήσεων για ύποπτες δραστηριότητες σύνδεσης μέσω logs του Entra ID.
Σχόλιο:
Οι μέθοδοι επίθεσης εξελίσσονται συνεχώς, εκμεταλλευόμενες νέες τεχνολογικές λειτουργίες. Είναι κρίσιμο οι οργανισμοί να ενημερώνουν τις πολιτικές ασφαλείας και να εκπαιδεύουν τους χρήστες σε αναδυόμενες απειλές, ειδικά σε τεχνικές κοινωνικής μηχανικής.
Πηγές: BleepingComputer
