Les cyberespions russes défont le numéro de Microsoft

Jun 25, 2023

Les attaques de spear phishing menées par le groupe de menaces persistantes avancées Midnight Blizzard ont ciblé les locataires Microsoft 365 des petites entreprises.

Un groupe de cyberespionnage géré par l'État russe, connu sous le nom d'APT29, a lancé des attaques de phishing contre des organisations qui utilisent de faux messages de sécurité sur Microsoft Teams dans le but de vaincre la méthode de notification push d'authentification à deux facteurs (2FA) de Microsoft qui repose sur la correspondance de numéros. "Notre enquête actuelle indique que cette campagne a touché moins de 40 organisations mondiales uniques", a déclaré Microsoft dans un rapport. "Les organisations ciblées dans cette activité indiquent probablement des objectifs d'espionnage spécifiques de Midnight Blizzard dirigés vers le gouvernement, les organisations non gouvernementales (ONG), les services informatiques, la technologie, la fabrication discrète et les secteurs des médias."

Midnight Blizzard est le nouveau nom attribué par Microsoft à APT29, un groupe menaçant qui opère depuis de nombreuses années et qui est considéré par les gouvernements américain et britannique comme la branche de piratage du service de renseignement étranger russe, le SVR. APT29, également connu dans le secteur de la sécurité sous le nom de Cozy Bear ou NOBELIUM, était à l'origine de l'attaque de la chaîne d'approvisionnement du logiciel SolarWinds en 2020 qui a touché des milliers d'organisations dans le monde, mais a également été responsable d'attaques contre de nombreuses institutions gouvernementales, missions diplomatiques et entreprises de base militaro-industrielle du monde entier. le monde au fil des années.

APT29 accède aux systèmes et aux réseaux en utilisant une grande variété de méthodes, notamment via des exploits Zero Day, en abusant des relations de confiance entre différentes entités au sein d'environnements cloud, en déployant des e-mails et des pages Web de phishing pour des services populaires, via la pulvérisation de mots de passe et des attaques par force brute. , et via des pièces jointes malveillantes et des téléchargements Web.

Les dernières attaques de spear phishing détectées par Microsoft ont débuté en mai et faisaient probablement partie d'une campagne plus vaste de compromission d'informations d'identification qui a d'abord abouti au détournement de locataires Microsoft 365 appartenant à de petites entreprises. Les locataires de Microsoft 365 obtiennent un sous-domaine sur le domaine onmicrosoft.com, généralement fiable. Les attaquants ont donc renommé les locataires piratés en sous-domaines créés avec des noms liés à la sécurité et aux produits pour donner de la crédibilité à la prochaine étape de leur attaque d'ingénierie sociale.

La deuxième étape consistait à cibler les comptes d'autres organisations pour lesquels ils avaient déjà obtenu des informations d'identification ou pour lesquels une politique d'authentification sans mot de passe était activée. Ces deux types de comptes ont activé l'authentification multifacteur via ce que Microsoft appelle les notifications push correspondant au numéro.

La méthode de notification push 2FA implique que les utilisateurs reçoivent une notification sur leur appareil mobile via une application afin d'autoriser une tentative de connexion. Il s'agit d'une implémentation courante sur de nombreux sites Web, mais les attaquants ont commencé à l'exploiter avec ce que l'on appelle la fatigue 2FA ou MFA - une tactique d'attaque qui consiste à envoyer du spam à un utilisateur dont les informations d'identification ont été volées avec des demandes d'autorisation push continues jusqu'à ce qu'ils pensent que le système fonctionne mal et acceptez-le, ou pire, envoyez des spams aux utilisateurs avec des appels téléphoniques 2FA au milieu de la nuit pour ceux qui ont activé cette option.

Une autre façon courante de mettre en œuvre la 2FA consiste à demander au site Web d'exiger un code généré par une application d'authentification sur le téléphone de l'utilisateur. Cependant, les attaquants ont également trouvé des moyens de contourner cette méthode en implémentant des pages de phishing qui agissent comme des proxys inverses entre l'utilisateur et le site Web ou le service cible.

En réponse à ce type d'attaques, Microsoft a mis en œuvre une autre méthode 2FA qui consiste à ce que les sites Web Microsoft envoient une notification push à l'application Microsoft Authenticator sur l'appareil mobile de l'utilisateur, l'invitant à saisir un numéro dans l'application. Ce numéro est affiché par le site Web lors du processus d'authentification. Cette méthode est appelée correspondance de numéros et est devenue la méthode par défaut pour toutes les notifications push de Microsoft Authenticator à partir du 8 mai.

Désormais, si un attaquant tente de s'authentifier avec les informations d'identification volées d'un utilisateur, celui-ci sera invité dans son application Microsoft Authenticator à saisir un numéro pour terminer le processus 2FA, mais l'utilisateur ne connaît pas le numéro affiché par le site Web car ce n'est pas lui. qui a initié l'authentification dans son navigateur. APT29 a donc décidé de relever ce nouveau défi.