Attenzione ai messaggi di chat e alle richieste di autenticazione di Microsoft Teams: la popolare applicazione per lo smart working (oltre 280 milioni di utenti attivi) può essere un vettore di attacchi informatici. A dirlo è la stessa Microsoft, i cui ricercatori hanno osservato una campagna di social engineering e cyberspionaggio partita dalla Russia e rivolta verso alcune grandi aziende internazionali, una quarantina circa quelle colpite dallo scorso maggio. Gli autori fanno parte di Midnight Blizzard (anche indicato da altri vendor di sicurezza come APT29, UNC2452, e Cozy Bear), un gruppo in attività almeno dal 2018 e che in passato è stato più volte collegato ai servizi di intelligence russi.
Midnight Blizzard, ha spiegato Microsoft, tende a focalizzarsi su pochi obiettivi altamente strategici e utilizza una varietà di tecniche di accesso iniziale, tra cui l’uso di credenziali rubate, gli attacchi di supply chain e lo sfruttamento di vulnerabilità per lo spostamento laterale da una rete locale al cloud.
Senza fare nomi, Microsoft ha spiegato che la lista delle aziende colpite da questa nuova campagna cybercriminale include enti governativi, no-profit, aziende di informatica e di servizi IT, manifatturiere e dell’industria dei media. Una lista che suggerisce il movente dello spionaggio.
Teams non è colpevole di alcuna vulnerabilità o difetto del software, perché le tattiche usate in questo caso rientrano nel social engineering. Gli autori della campagna hanno cercato di ottenere credenziali di accesso agli account Microsoft 365 contattando i dipendenti delle aziende target tramite Teams. Per confezionare l’inganno, gli attaccanti sono partiti da account Microsoft 365 già esistenti e legittimi (magari appartenenti a piccole aziende compromesse precedenti attacchi), che hanno poi modificato in modo da creare nomi di dominio e di utente ingannevoli. L’utilizzo di determinate parole, temi e nomi di prodotto ha consentito loro di spacciarsi per addetti al supporto tecnico di Teams.
Screenshot di una richiesta di messaggio inviata da Midnight Blizzard
Gli attacchi di social engineering osservati in questa campagna prevedevano tre fasi. Innanzitutto, gli autori inviavano messaggi di chat a utenti di Teams, fingendo di essere una persona del supporto tecnico. Se la vittima accettava la richiesta di messaggio da parte di utente esterno, scattava allora la fase due in cui si cercava di convincerla a inserire un codice nell’applicazione Microsoft Authenticator installata su smartphone. Se il tentativo riusciva, a quel punto gli attaccanti potevano accedere all’account Microsoft 365 dell’utente.
In seguito alla scoperta e allo studio di questa campagna, i ricercatori di MIcrosoft hanno bloccato l’utilizzo degli account forgiati ad arte e stanno lavorando “per rimediare all’impatto dell’attacco”, ha fatto sapere la società di Redmond. “Come per qualsiasi altra esca di social engineering, incoraggiamo le aziende a rafforzare le best practice di sicurezza e ribadiamo che qualsiasi richiesta di autenticazione non avviata dall’utente dovrebbe essere considerata come malevola”. Va detto che, in effetti, in Teams le richieste di messaggio provienienti da utenti esterni vengono sempre accompagnate da una frase di avvertimento, che ricorda la possibilità che si tratti di spam o phishing.