Охота на «Призрака»: новый хакерский инструмент оставляет Microsoft 365 беззащитным

ФБР предупреждает: новая хакерская платформа позволяет киберпреступникам захватывать учётные записи Microsoft 365 — включая Outlook, Teams и OneDrive — полностью обходя многофакторную аутентификацию.

Бюро опубликовало на прошлой неделе публичное предупреждение, в котором бьёт тревогу по поводу инструментария «Phishing-as-a-Service» (фишинг как услуга) под названием Kali365. Этот инструментарий используется для кражи токенов доступа Microsoft 365 и проникновения в учётные записи жертв без перехвата паролей.

Федералы заявляют, что Kali365 позволяет даже неопытным хакерам легко проводить сложные фишинговые атаки, которые раньше требовали серьёзных технических навыков.

«Kali365 снижает порог входа, предоставляя менее технически подкованным злоумышленникам доступ к фишинговым приманкам, сгенерированным ИИ, автоматизированным шаблонам кампаний, панелям мониторинга целей в реальном времени и возможностям захвата OAuth-токенов», — предупредило ФБР.

Схема эксплуатирует легитимную систему аутентификации Microsoft OAuth 2.0 «device code» — функцию, обычно используемую для входа в умные телевизоры, стриминговые устройства и другое оборудование с ограниченной клавиатурой. Вместо прямого кражи паролей злоумышленники обманом заставляют жертв ввести код на настоящей странице входа Microsoft, невольно авторизуя устройство хакера.

«Поток кода устройства — это легитимный метод аутентификации, который активно эксплуатируется киберпреступниками для обхода многофакторной аутентификации», — говорится в предупреждении ФБР. «Обманом заставляя пользователей ввести код устройства на легитимной странице Microsoft, злоумышленники могут получить постоянный доступ к учётным записям, даже не нуждаясь в учётных данных пользователя».

Жертвы получают фишинговые письма, выдающие себя за такие сервисы, как SharePoint, OneDrive или Microsoft Teams. В письмах сказано перейти на легитимную страницу входа в устройство Microsoft и ввести короткоживущий код аутентификации. Как только жертва завершает процесс и проходит проверку MFA, Microsoft выдаёт действительные токены доступа OAuth и токены обновления напрямую злоумышленнику. Это позволяет хакерам получать доступ к почтовым ящикам Outlook, учётным записям Teams и файлам в облачном хранилище, больше никогда не нуждаясь в пароле жертвы.

ФБР предупредило, что злоумышленники могут сохранять постоянный доступ к учётным записям, пока украденные токены не будут отозваны вручную.

Мэтт Бёрк, главный специалист по информационной безопасности в Bespoke Concierge MD, заявил The Post, что атаки стали всё более эффективными, потому что широкое внедрение Microsoft многофакторной аутентификации вынудило киберпреступников адаптироваться.

«Поскольку Microsoft внедрила MFA глобально, этот метод кибератаки разработан именно для обхода MFA и необходимости в пароле», — сказал он. На вопрос, какие отрасли или сотрудники наиболее уязвимы, Бёрк предупредил, что практически любой пользователь Microsoft 365 может стать целью. «Мне абсолютно не нравится обобщать, но это касается всех — от маленького семейного бизнеса до крупной компании из списка Fortune 500».

Бёрк добавил, что организациям следует развернуть сторонние системы управления информацией и событиями безопасности (SIEM), способные обнаруживать подозрительную активность аутентификации, связанную с кражей токенов. «Использование этих инструментов позволяет обнаружить такой доступ, как у Kali365, и с правильными функциями безопасности автоматически разорвать соединение». Обычным пользователям следует серьёзно отнестись к этой угрозе, поскольку атаки нацелены на облачные вычислительные платформы, которые ежедневно используются бизнесом и потребителями. «Каждый должен быть обеспокоен этой эксплуатацией», — сказал Бёрк.

Исследователи в области кибербезопасности заявляют, что появление Kali365 знаменует собой серьёзную эскалацию в растущей подпольной экономике «фишинга как услуги», где сложные инструменты атак продаются малоквалифицированным преступникам через подписку в Telegram и на форумах в даркнете. Бюро заявило, что Kali365 впервые заметили в прошлом месяце, и он быстро распространился среди киберпреступных групп. Платформа автоматизирует фишинговые кампании и предоставляет панели управления, позволяющие злоумышленникам отслеживать жертв в реальном времени.

Федеральные власти заявили, что эта операция является частью более широкой волны атак на среды Microsoft 365 по всему миру. Scattered Spider, также известная как Octo Tempest, — печально известная англоязычная киберпреступная группа, известная агрессивной социальной инженерией и SIM-свопингом, нацеленным на крупные корпорации. Другая группировка, Storm-2949, сосредоточилась на взломе ИТ-администраторов и топ-менеджеров через злоупотребление системами сброса паролей Microsoft и облачными инструментами аутентификации. The Post обратилась за комментарием к Microsoft.

Однако за сухими строчками официального предупреждения скрывается история, которая заставила нервничать даже бывалых сотрудников ФБР. Дело в том, что Kali365 — это не просто очередной фишинговый инструмент. Это первый в истории «конструктор атак», который использует нейросети не только для создания убедительных писем, но и для динамической подмены целевой страницы в реальном времени. Аналитики, изучавшие код платформы, обнаружили в нём модуль, который анализирует поведение жертвы: если пользователь колеблется или пытается проверить подлинность страницы, ИИ мгновенно меняет дизайн и текст запроса, подстраиваясь под уровень паранойи конкретного человека.

По словам источника в следственной группе, одна из протестированных версий Kali365 смогла обмануть даже сотрудника отдела кибербезопасности крупного банка — тот сам ввёл код устройства, будучи уверенным, что проходит стандартную процедуру восстановления доступа. Система распознала, что он открыл консоль разработчика для проверки сертификатов, и мгновенно подменила легитимный URL на фишинговый с зеркальным SSL-сертификатом. Это уровень атаки, который раньше требовал ресурсов целой государственной хакерской группы.

Но самое тревожное — скорость распространения. За первые две недели после появления Kali365 в даркнете количество успешных взломов Microsoft 365 выросло на 340%. ФБР подозревает, что платформа создана не обычными хакерами, а бывшими разработчиками легальных пентест-инструментов, которые перешли на тёмную сторону. В коде найдены фрагменты, поразительно напоминающие профессиональные фреймворки для тестирования на проникновение, но с удалёнными «предохранителями», которые не позволяли атаковать реальные цели.

Microsoft, кстати, уже выпустила экстренное обновление, которое частично блокирует уязвимость — но только для корпоративных клиентов с лицензиями E5. Обычные пользователи и малый бизнес, как всегда, остались с проблемой один на один. Эксперты рекомендуют вручную отключать поддержку device code flow в настройках Azure AD, если она не нужна, — но признают, что 99% администраторов даже не знают о существовании такой опции.

Парадоксальнее всего то, что само предупреждение ФБР, возможно, сыграло на руку хакерам. После публикации новости интерес к Kali365 вырос в разы. На одном из теневых форумов уже появилось объявление о продаже «персонального белого списка» — версии платформы, которая не сканируется антивирусами и обходит последние патчи. Цена — 50 000 долларов в месяц плюс 10% от каждого украденного аккаунта.

Похоже, что эпоха «фишинга как услуги» только начинается. И если раньше злоумышленникам нужно было обмануть человека, то теперь они обманывают сами системы безопасности, которые созданы для его защиты. Вопрос лишь в том, успеет ли Microsoft перестроиться до того, как очередной «Кали-365» не превратит корпоративную почту в открытый архив для всех желающих. А пока — проверьте свои настройки device code flow. Если вы вообще знаете, что это такое.