حذرت شركة Microsoft من تهديد أمني خطير يستهدف العديد من الأجهزة الذكية للحكومات المختلفة والشعوب في مناطق عديدة من العالم، كان من ضمنها أفريقيا والشرق الأوسط، والتي أطلقت عليها اسم Storm-2372، وفقًا لما ورد عبر موقعي «Ars Technica» و«the hacker news».
هجوم Storm-2372
ولفتت شركة مايكروسوفت الانتباه إلى مجموعة تهديدات ناشئة تطلق عليها اسم Storm-2372، والتي استهدفت لحكومات والمنظمات غير الحكومية وخدمات تكنولوجيا المعلومات والتكنولوجيا والدفاع والاتصالات والصحة والتعليم العالي وقطاعات الطاقة والنفط والغاز في أوروبا وأمريكا الشمالية وأفريقيا والشرق الأوسط.
نسبت مايكروسوفت هذه الهجمات إلى مجموعة من الهاكرز الروس، وقالت إنها استهدفت المستخدمين عبر تطبيقات المراسلة مثل WhatsApp وSignal وMicrosoft Teams: «يتم استهداف الضحية عن طريق الادعاء زوراً بأنها شخصية بارزة ذات صلة بالهدف في محاولة لبناء الثقة».
وفقًا لتقرير نشره قسم الاستخبارات في شركة Microsoft Threat Intelligence: «يستخدم المحتالون تقنية تصيد تسمى تصيد رمز الجهاز، والتي تخدع المستخدمين لتسجيل الدخول إلى تطبيقات الإنتاجية بينما يقوم مرتكبو Storm-2372 بالتقاط المعلومات من تسجيل الدخول (الرموز) التي يمكنهم استخدامها للوصول إلى الحسابات المخترقة».
وأوضحت الشركة أن الهدف من ذلك هو الوصول إلى البيانات الحساسة للمستخدمين، واكتشف باحثو مايكروسوفت أنه منذ أغسطس الماضي، يستغل Storm-2372 تدفق المصادقة هذا عن طريق خداع المستخدمين لإدخال رموز الأجهزة التي ينشئها المهاجم على صفحات تسجيل الدخول المشروعة.
كيف يتم جذب الضحية؟
أوضحت الشركة الطريقة التي يقوم من خلالها المخترقون بالإيقاع بالضحية، وقالت إن ذلك يتم عبر إرسال رسائل بريد إلكتروني احتيالية تظهر في شكل دعوات اجتماعات Microsoft Teams: «إن الدعوات تغري المستخدم بإكمال طلب مصادقة رمز الجهاز الذي يحاكي تجربة خدمة المراسلة، والتي توفر لـ Storm-2372 الوصول الأولى إلى حسابات الضحايا وتمكن أنشطة جمع بيانات Graph API، مثل حصاد البريد الإلكتروني».
«أثناء الهجوم، يقوم الفاعل المهدد بإنشاء طلب رمز جهاز شرعي ويخدع الهدف لإدخاله في صفحة تسجيل دخول شرعية، وهذا يمنح الفاعل حق الوصول ويمكّنه من التقاط رموز المصادقة الوصول والتحديث التي يتم إنشاؤها، ثم استخدام هذه الرموز للوصول إلى حسابات الهدف وبياناته»، وفقًا لتقرير الشركة.
كما كشفت أنه يمكن بعد ذلك استخدام رموز المصادقة المزيفة للوصول إلى خدمات أخرى يتمتع المستخدم بالفعل بأذونات الوصول إليها، مثل البريد الإلكتروني أو التخزين السحابي، دون الحاجة إلى كلمة مرور.