Hacker russi sponsorizzati dallo Stato si sono spacciati per personale di supporto tecnico su Microsoft Teams per compromettere decine di organizzazioni globali, tra cui agenzie governative.
I ricercatori di sicurezza di Microsoft hanno dichiarato mercoledì che la campagna di social engineering “altamente mirata” è stata portata avanti da un gruppo di hacker russi sponsorizzati dallo Stato, rintracciato da Microsoft come “Midnight Blizzard”, ma più comunemente noto come APT29 o Cozy Bear. Il gruppo, che è stato collegato al famigerato attacco SolarWinds nel 2020, fa parte dei servizi segreti russi, o SVR, secondo le agenzie di polizia statunitensi e britanniche.
Gli attacchi, iniziati a fine maggio, hanno visto gli hacker dell’APT29 utilizzare account Microsoft 365 precedentemente compromessi per creare nuovi domini a tema assistenza tecnica. Utilizzando questi domini, gli hacker hanno inviato messaggi di Microsoft Teams che miravano a manipolare gli utenti per indurli ad approvare le richieste di autenticazione a più fattori, con l’obiettivo finale di ottenere l’accesso agli account degli utenti ed esfiltrare informazioni sensibili.
“Se l’utente target accetta la richiesta di messaggio, riceve un messaggio Microsoft Teams dall’aggressore che tenta di convincerlo a inserire un codice nell’app Microsoft Authenticator sul proprio dispositivo mobile”, ha dichiarato Microsoft. Se la vittima segue queste istruzioni, l’hacker è in grado di ottenere l’accesso completo all’account dell’utente.
Le indagini di Microsoft sulla campagna indicano che sono state prese di mira o violate meno di 40 organizzazioni globali, tra cui agenzie governative, organizzazioni non governative, servizi IT, tecnologia, produzione discreta e settori dei media. Le organizzazioni prese di mira non sono state nominate, ma “indicano obiettivi specifici di spionaggio” da parte degli hacker russi, afferma Microsoft.
Microsoft afferma di aver impedito al gruppo di hacker di utilizzare i domini e “continua a indagare su questa attività”, compresi gli attacchi precursori degli hacker per compromettere i tenant legittimi di Azure e l’uso di domini omografi – domini che sfruttano la somiglianza delle lettere dei caratteri per impersonare domini legittimi – nelle campagne di social engineering.
La notizia di questa campagna di social engineering legata alla Russia arriva settimane dopo che gli hacker cinesi hanno sfruttato una falla nel servizio di posta elettronica cloud di Microsoft per accedere agli account di posta elettronica dei dipendenti del governo degli Stati Uniti.
