Microsoft ha reso pubblico un massiccio attacco phishing ai danni di Teams da parte di Midnight Blizzard, noto gruppo di hacker russi.
La gang avrebbe preso di mira un ampio gruppo di utenti dell’app, comprese medie-piccole organizzazioni e persino enti governativi. Il fine di questa offensiva, a quanto pare, è il furto di informazioni riservate.
Questo tipo di operazione non è di certo una novità: gli stessi hacker, infatti, hanno già preso di mira il colosso informatico in passato. Nel post sul blog ufficiale, Microsoft ha avvertito di essere pienamente cosciente di questi attacchi e di essere a lavoro per porvi rimedio.
Secondo quanto comunicato dall’azienda, gli hacker stanno utilizzando tecniche di furto di token per ottenere l’accesso ad alcuni nomi di dominio contenenti la parola “Microsoft” spacciandosi poi per il supporto tecnico ufficiale.
Microsoft Teams sotto assedio: la campagna portata avanti dal gruppo Midnight Blizzard
Gli hacker coinvolti inducono l’utente a inserire un codice di sicurezza dall’app Microsoft Authenticator. In questo modo, i cybercriminali ottiengono l’accesso all’intero account Microsoft 365 della vittima.
I profili compromessi vengono quindi utilizzati per ottenere l’accesso e, in alcuni casi, il pieno controllo dell’organizzazione a cui appartiene l’account.
Microsoft segnala inoltre che gli hacker tentano anche di aggiungere nuovi dispositivi non autorizzati alla directory aziendale utilizzando Microsoft Entra ID. Ciò offre all criminale informatico un accesso “multi-point” rispetto all’azienda, diventando quindi molto più difficile da fermare.
Per contrastare questa minaccia, il colosso di Redmond ha raccomandato alcune misure di sicurezza agli utenti. Tra di esse figurano:
- Blocco dei domini esterni nelle organizzazioni Micorosft 365;
- Utilizzo di Microsoft 354 Audit per aiutare nelle indagini (in caso di attacco già subito);
- Formare i dipendenti a identificare account esterni attendibili o meno;
- Attivare il controllo app condizionale di Microsoft Defender per il cloud;
- Adozione di token di accesso monouso.
Come già accennato, gli stessi hacker russi hanno già preso di mira Microsoft, anche se al tempo (ovvero nel 2018) il gruppo era noto come NOBELIUM.