Archives par mot-clé : Storm-2372

Cybersécurité, Entreprise

Le piège des fausses invitations à des réunions en ligne

Laisser un commentaire

Les cyberattaques ne cessent d’évoluer, exploitant des failles humaines et techniques pour infiltrer les systèmes d’information. Une nouvelle campagne de phishing, orchestrée par le groupe de hackers Storm-2372, illustre cette menace grandissante en ciblant les utilisateurs de services de messagerie comme Microsoft Teams, WhatsApp et Signal.

Depuis six mois, un stratagème sophistiqué permet à ces cybercriminels d’accéder à des ressources sensibles sans passer par l’authentification multi facteur. En envoyant de fausses invitations à des réunions en ligne, ils exploitent un mécanisme d’authentification par code d’appareil pour détourner l’accès aux fichiers, communications et mails des victimes. Cette campagne cible des gouvernements et des secteurs clés comme la défense, la santé et les télécommunications, mettant en évidence la nécessité d’un renforcement des politiques de cybersécurité.

Une méthode redoutable basée sur l’authentification par code d’appareil

Contrairement aux attaques classiques de phishing qui redirigent les utilisateurs vers des pages web frauduleuses, cette nouvelle méthode repose sur l’exploitation des processus d’authentification de plateformes légitimes. Lorsqu’un utilisateur clique sur une invitation piégée, il est dirigé vers l’interface d’authentification de son application de messagerie habituelle. On lui demande alors de renseigner un code d’appareil, une procédure qui semble anodine. Cependant, ce code active une application malveillante qui accorde un accès total aux hackers.

Ce stratagème est particulièrement pernicieux car il contourne la vigilance habituelle des utilisateurs. Il ne nécessite même pas la saisie d’un mot de passe, ce qui réduit la suspicion et accélère la compromission des comptes. Une fois l’accès obtenu, les bad hackers peuvent exploiter les ressources du compte cible de manière prolongée, même si l’utilisateur modifie son mot de passe par la suite.

Une menace mondiale pour les secteurs stratégiques

Les gouvernements et les entreprises des secteurs critiques sont en première ligne de cette vague de cyberattaques. La défense, la santé et les télécommunications constituent des cibles stratégiques en raison des données hautement sensibles qu’elles gèrent.

Les conséquences d’une intrusion peuvent être dévastatrices : espionnage industriel, perturbation des infrastructures critiques ou encore vol massif d’informations confidentielles. Cette campagne rappelle l’importance d’une politique de cybersécurité robuste et adaptée aux nouvelles techniques d’attaque.

Selon Fabien Lavabre, Directeur de la sécurité chez Tixeo, la prévention et la réaction rapide sont essentielles pour limiter l’impact de ces attaques. Il recommande plusieurs mesures clés pour renforcer la sécurité des organisations face à ces stratagèmes de phishing sophistiqués :

  • Former les utilisateurs aux nouvelles formes de phishing afin d’augmenter leur vigilance.
  • Restreindre les autorisations d’accès aux applications tierces pour limiter les risques de compromission.
  • Renforcer les contrôles d’accès et la détection des connexions suspectes afin d’intervenir rapidement en cas d’intrusion.
  • Mettre en place un processus clair pour réagir efficacement en cas de compromission d’un compte.
  • Auditer régulièrement les applications autorisées et supprimer celles qui ne sont plus utiles.

Ces recommandations visent à minimiser les risques et à garantir une meilleure résilience face aux cybermenaces qui évoluent constamment.

Storm-2372, kesako

Storm-2372 est un groupe de hackers malveillant que Microsoft pense être aligné sur les intérêts et les méthodes de la Russie. Depuis août 2024, ce groupe mène des campagnes de phishing sophistiquées ciblant divers secteurs, notamment les gouvernements, les ONG, les services informatiques, la défense, les télécommunications, la santé, l’enseignement supérieur et l’énergie, à travers l’Europe, l’Amérique du Nord, l’Afrique et le Moyen-Orient.

La technique principale utilisée par Storm-2372 est le « phishing par code d’appareil« . Cette méthode exploite le flux d’authentification par code d’appareil pour capturer les jetons d’authentification des utilisateurs, leur permettant ainsi d’accéder aux comptes ciblés et aux données associées sans nécessiter de mot de passe.

Les attaquants peuvent maintenir un accès persistant tant que ces jetons restent valides.

Les campagnes de Storm-2372 impliquent souvent l’envoi d’invitations à des réunions en ligne via des services de messagerie tels que WhatsApp, Signal et Microsoft Teams. Les victimes sont incitées à entrer un code d’appareil sur une page de connexion légitime, ce qui permet aux attaquants de capturer les jetons d’accès et de compromettre les comptes.

Pour se protéger contre de telles attaques, il est recommandé de bloquer l’utilisation du flux de code d’appareil lorsque cela est possible, de restreindre son utilisation aux appareils et réseaux de confiance via des politiques d’accès conditionnel, d’éduquer les utilisateurs sur les techniques de phishing, de mettre en œuvre une authentification multifactorielle (MFA) et d’utiliser des méthodes d’authentification résistantes au phishing.

Un avenir toujours plus complexe pour la cybersécurité ?

Alors que les cyberattaques deviennent de plus en plus sophistiquées, les organisations doivent sans cesse adapter leurs stratégies de protection. Cette campagne de phishing souligne à quel point les hackers sont capables d’exploiter les mécanismes légitimes d’authentification pour contourner les dispositifs de sécurité traditionnels. Comment les entreprises et les gouvernements pourront-ils anticiper ces menaces et s’adapter à un paysage numérique toujours plus hostile ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !