Le cyberspie russe sconfiggono il numero Microsoft

Jun 25, 2023

Gli attacchi spear-phishing del gruppo di minacce persistenti avanzate Midnight Blizzard hanno preso di mira gli inquilini di Microsoft 365 di piccole imprese.

Un gruppo di cyberspionaggio statale russo noto come APT29 ha lanciato attacchi di phishing contro organizzazioni che utilizzano falsi messaggi di sicurezza su Microsoft Teams nel tentativo di sconfiggere il metodo di notifica push di autenticazione a due fattori (2FA) di Microsoft che si basa sulla corrispondenza dei numeri. "La nostra attuale indagine indica che questa campagna ha colpito meno di 40 organizzazioni globali uniche", ha affermato Microsoft in un rapporto. "Le organizzazioni prese di mira in questa attività probabilmente indicano specifici obiettivi di spionaggio di Midnight Blizzard diretti al governo, alle organizzazioni non governative (ONG), ai servizi IT, alla tecnologia, alla produzione discreta e ai settori dei media."

Midnight Blizzard è il nuovo nome designato da Microsoft per APT29, un gruppo di minacce che opera da molti anni ed è considerato dai governi degli Stati Uniti e del Regno Unito il braccio hacker del servizio di intelligence straniero russo, l'SVR. APT29, noto anche nel settore della sicurezza come Cozy Bear o NOBELIUM, è il responsabile dell'attacco alla catena di fornitura del software SolarWinds del 2020 che ha colpito migliaia di organizzazioni in tutto il mondo, ma è stato anche responsabile di attacchi contro molte istituzioni governative, missioni diplomatiche e società di basi industriali militari di tutto il mondo. il mondo nel corso degli anni.

APT29 ottiene l'accesso a sistemi e reti utilizzando un'ampia varietà di metodi, tra cui tramite exploit zero-day, abusando delle relazioni di fiducia tra diverse entità all'interno di ambienti cloud, distribuendo e-mail di phishing e pagine Web per servizi popolari, tramite spray password e attacchi di forza bruta e tramite allegati di posta elettronica e download Web dannosi.

Gli ultimi attacchi spear-phishing rilevati da Microsoft sono iniziati a maggio e facevano probabilmente parte di una più ampia campagna di compromissione delle credenziali che ha inizialmente portato al dirottamento dei tenant di Microsoft 365 appartenenti a piccole imprese. I tenant di Microsoft 365 ottengono un sottodominio sul dominio onmicrosoft.com, generalmente affidabile, quindi gli aggressori hanno rinominato i tenant dirottati creando sottodomini con nomi correlati alla sicurezza e al prodotto per conferire credibilità al passaggio successivo del loro attacco di ingegneria sociale.

Il secondo passaggio prevedeva di prendere di mira gli account di altre organizzazioni per le quali avevano già ottenuto le credenziali o per le quali era abilitata una policy di autenticazione senza password. Entrambi questi tipi di account hanno abilitato l'autenticazione a più fattori tramite ciò che Microsoft chiama notifiche push corrispondenti ai numeri.

Il metodo di notifica push 2FA prevede che gli utenti ricevano una notifica sul proprio dispositivo mobile tramite un'app per autorizzare un tentativo di accesso. Si tratta di un'implementazione comune a molti siti Web, ma gli aggressori hanno iniziato a sfruttarla con la cosiddetta 2FA o MFA fatigue, una tattica di attacco che prevede lo spam di un utente le cui credenziali sono state rubate con continue richieste di autorizzazione push finché non pensano che il sistema non funziona correttamente e accettarlo, o peggio, spammare gli utenti con telefonate 2FA nel cuore della notte per coloro che hanno questa opzione abilitata.

Un altro modo comune per implementare la 2FA è fare in modo che il sito web richieda un codice generato da un'app di autenticazione sul telefono dell'utente. Tuttavia, gli aggressori hanno trovato il modo di aggirare anche questo metodo, implementando pagine di phishing che agiscono come proxy inversi tra l’utente e il sito Web o il servizio di destinazione.

In risposta a questo tipo di attacchi, Microsoft ha implementato un altro metodo 2FA che prevede che i siti Web Microsoft inviino una notifica push all'app Microsoft Authenticator sul dispositivo mobile dell'utente che richiede all'utente di inserire un numero all'interno dell'app. Questo numero viene visualizzato dal sito Web durante il processo di autenticazione. Questo metodo è denominato corrispondenza dei numeri ed è stato reso il metodo predefinito per tutte le notifiche push di Microsoft Authenticator a partire dall'8 maggio.

Ora, se un utente malintenzionato tenta di autenticarsi con le credenziali rubate di un utente, all'utente verrà richiesto nell'app Microsoft Authenticator di inserire un numero per completare il processo 2FA, ma l'utente non conosce il numero visualizzato dal sito Web perché non è suo che ha avviato l'autenticazione nel proprio browser. Quindi APT29 ha deciso di vincere questa nuova sfida.