Melvins verktøy misbrukt av kriminelle – angrep over 80.000 kontoer
Melvin Langvik lagde TeamFiltration for å teste sikkerheten i Microsoft365/Entra ID, men kriminelle hadde andre planer. – Ikke uventet, mener utvikleren.
I 2022 lanserte sikkerhetskonsulenten Melvin Langvik et nytt åpen kildekode-verktøy, TeamFiltration, for å teste brukersikkerheten i Microsoft 365/Entra ID.
Verktøyet ble laget for å være et nyttig hjelpemiddel for penetrasjonstestere og andre sikkerhetsfolk.
I sommer opplevde imidlertid Langvik at noen med onde hensikter misbrukte verktøyet han hadde laget.
– Tidlig i 2025 ble det publisert flere nyhetsartikler som antydet at ekte angripere brukte TeamFiltration i en stor kampanje mot Entra ID-kontoer. Proofpoint kalte angrepet “UNK_SneakyStrike”, forteller Langvik til kode24.
Langvik er denne uken på Sikkerhetsfestivalen på Lillehammer for å fortelle historien sin i et foredrag han har kalt "How I Accidentally Helped Hack 80,000 EntraID Accounts".
Det var så klart kjedelig for de bedriftene som potensielt ble rammet, men det var ikke uventet.
80.000 kontoer berørt
Ifølge Langvik testet angriperne over 80.000 kontoer, og klarte faktisk å kompromittere flere.
– Angriperne brukte verktøyet til å finne gyldige brukere via Teams og kjørte passord-spraying-angrep, sier Langvik.
Med passord-spraying menes at angriperen tester det samme passordet på mange ulike kontoer, før neste passord prøves. Ved å gjøre dette i stedet for å teste mange passord på én konto, unngår angriperne å bli utestengt fra kontoer.
– Hva gjorde du da du oppdaget at sikkerhetsverktøyet ditt ble misbrukt på denne måten?
– Det var så klart kjedelig for de bedriftene som potensielt ble rammet, men det var ikke uventet. Koden lå jo åpent på GitHub, så det var aldri utenkelig at andre enn penetrasjonstestere og sikkerhetseksperter kunne benytte verktøyet – også på ondsinnet vis.
Manglet i verktøykassa
– Hvorfor lagde du TeamFiltration?
– Jeg lagde det i 2022 fordi jeg så et hull i verktøykassa som pentester. Under en test oppdaget jeg at MFA var aktivert overalt bortsett fra i Teams, og det fantes nesten ingen automatiserte verktøy for å oppdage slike feil i Conditional access-policyer på tidspunktet.
– Derfor bygde jeg TeamFiltration, og gjorde det åpent tilgjengelig slik at andre kunne dra nytte av det også.
Langvik forklarer at TeamFiltration blant annet raskt kan enumerere hvilke brukerkontoer som finnes i en tenant og utføre passord-spraying. Dersom en konto blir kompromittert kan TeamFiltration hente ut alle brukerdata fra Teams, Outlook og OneDrive, samt opprette bakdører.
Det er denne funksjonaliteten angriperne altså valgte å utnytte i sitt eget angrep.
Hvis vi ikke deler verktøyene åpent, ender bare de kriminelle opp med å utvikle dem selv, mens forsvarerne står uten.
Kan misbrukes
Men selv om et verktøy som TeamFiltration kan misbrukes, mener Langvik at slike verktøy likevel bør offentliggjøres.
– Det er en risiko, men fordelene veier helt klart opp. Hvis vi ikke deler verktøyene åpent, ender bare de kriminelle opp med å utvikle dem selv, mens forsvarerne står uten, sier Langvik.
Han forteller videre at andre verktøy som Impacket, Empire og Mimikatz har blitt misbrukt mange ganger, men at verktøyene likevel er uvurderlige for sikkerhetsarbeid.
– Når verktøy som mitt blir brukt ondsinnet, gjør åpenheten det faktisk lettere å lage forsvar mot dem. Elastic publiserte for eksempel regeler for å oppdage angrep fra TeamFiltration, som følge av nyhetsdekningen,
Bidro til bevissthet
Langvik sier misbruk av open-source sikkerhetsverktøy har vært et langt og evigvarende tema i sikkerhetsmiljøet.
– Likevel kommer de fleste til slutt frem til at det å slippe verktøy offentlig på denne måten, er en ren nødvendighet for å drive industrien fremover.
Hendelsen viser hvor viktig sikkerhetsarbeid er, mener Langvik.
– Mange organisasjoner har kanskje fått en vekker om hvor sårbare sky-kontoer kan være. Ironisk nok har misbruket bidratt til økt bevissthet, akkurat det verktøyet var ment å skape.
