Une nouvelle menace informatique cible les organisations en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient. Connue sous le nom de Storm-2372, cette campagne de cyberattaques, attribuée à des acteurs russes, exploite une technique sophistiquée appelée « device code phishing« . L’objectif est de compromettre des comptes en capturant des informations d’authentification pour pénétrer dans les systèmes et exfiltrer des données sensibles. Ces actions malveillantes visent des secteurs stratégiques tels que le gouvernement, les ONG, la cybersécurité, la défense, les télécommunications, le secteur de la santé, l’énergie et l’enseignement supérieur.
Une attaque de phishing sophistiquée ciblant des secteurs clés
Un mode opératoire basé sur la manipulation
Les cybercriminels de Storm-2372 utilisent des applications de messagerie comme WhatsApp, Signal et Microsoft Teams pour tromper leurs victimes. Ils se font passer pour des personnalités influentes afin d’établir un climat de confiance et d’inciter les cibles à suivre des instructions frauduleuses. Cette approche de fraude en ligne repose sur l’ingénierie sociale, une méthode de manipulation conçue pour obtenir des informations d’identification.
Le « device code phishing » : une méthode furtive
Contrairement aux attaques classiques de phishing reposant sur des liens frauduleux, cette campagne utilise un procédé plus élaboré. Les attaquants envoient de fausses invitations à des réunions Microsoft Teams ou des emails incitant la cible à entrer un code d’authentification généré par les pirates. Une fois le code saisi sur une page légitime de connexion, les hackers interceptent et récupèrent les tokens d’accès, leur permettant de contrôler le compte sans nécessiter de mot de passe.
Des conséquences graves sur la cybersécurité des organisations
Accès aux données sensibles et mouvements latéraux
Grâce aux identifiants volés, les cybercriminels accèdent à divers services comme les emails professionnels et les stockages cloud. Ils peuvent ainsi consulter et dérober des informations confidentielles. Microsoft a observé que les attaquants utilisent leur accès pour rechercher des mots-clés sensibles tels que « mot de passe« , « identifiants« , « admin« , « teamviewer« , « anydesk« , « secret » et « gouvernement« . Les emails contenant ces termes sont ensuite exfiltrés vers les serveurs des cybercriminels.
Propagation de l’attaque au sein des entreprises
Les sessions d’accès valides sont exploitées pour envoyer des messages de phishing interne aux collègues de la victime, favorisant la propagation de l’attaque au sein de l’organisation. En compromettant plusieurs comptes, les hackers étendent progressivement leur influence, augmentant ainsi l’impact de leur intrusion.
Comment se protéger contre cette menace ?
Bloquer le « device code flow » et renforcer l’authentification
Pour réduire les risques, les entreprises doivent désactiver le device code flow lorsque cela est possible. Cette fonctionnalité, bien que pratique, est détournée par les cybercriminels pour faciliter leurs attaques. Il est également recommandé d’activer une authentification multi-facteurs résistante au phishing, comme l’authentification biométrique ou l’utilisation de clés de sécurité physiques.
Adopter une stratégie de cybersécurité basée sur le principe du moindre privilège
Les organisations doivent limiter les accès des utilisateurs aux ressources strictement nécessaires à leur travail. Une mise en œuvre rigoureuse du principe du moindre privilège permet de réduire l’impact potentiel d’un compte compromis. Une surveillance continue des connexions et une analyse des comportements suspects sont aussi des mesures essentielles pour contrer ce type de menaces.
Face à l’évolution des attaques informatiques, il est essentiel pour les entreprises de se doter de solutions avancées de cybersécurité. CyberCare propose des services de protection contre le phishing, de gestion des accès et de détection des menaces pour sécuriser les organisations contre les attaques ciblées comme celles menées par Storm-2372.
