Czy kiedykolwiek zastanawiałeś się, jak hakerzy działają, aby celować w duże organizacje? Marzec był świadkiem serii zaawansowanych ataków wymierzonych w konta Microsoft 365 na Bliskim Wschodzie. Odkryj kulisy tej operacji cybernetycznej, która wstrząsnęła Izraelem i Zjednoczonymi Emiratami Arabskimi.
3 informacje, których nie można przegapić
- Ponad 300 izraelskich organizacji i około dwudziestu w Zjednoczonych Emiratach Arabskich zostało zaatakowanych przez hakerów w marcu.
- Ataki zbiegły się z irańskimi uderzeniami rakietowymi, głównie wymierzonymi w gminy.
- Hakerzy użyli techniki „password spraying”, aby uzyskać dostęp do kont Microsoft 365.
Ataki na Bliskim Wschodzie: dobrze przemyślana strategia
W marcu ponad 300 organizacji w Izraelu i około dwudziestu w Zjednoczonych Emiratach Arabskich zostało zaatakowanych przez kampanię hakerską. Ataki były głównie wymierzone w gminy, co sugeruje związek z irańskimi uderzeniami rakietowymi z tego samego okresu. Hakerzy użyli metody „password spraying”, techniki polegającej na jednoczesnym testowaniu setek kont za pomocą powszechnych haseł, aby uniknąć automatycznego blokowania.
Etapy ataku na konta Microsoft 365
Plan hakerów przebiegał w trzech odrębnych fazach. Najpierw przeprowadzano masowe skanowanie z węzłów wyjściowych Tor, używając agenta użytkownika podszywającego się pod Internet Explorer 10. Gdy znaleziono prawidłowe dane logowania, połączenia były nawiązywane przez adresy IP VPN zlokalizowane w Izraelu, za pomocą usług takich jak Windscribe lub NordVPN, co pozwalało ominąć ograniczenia geograficzne Microsoft 365. Ostatecznie hakerzy uzyskiwali dostęp do skrzynek pocztowych i zawartych w nich danych.
Cele i motywacje stojące za atakami
Check Point Research zauważył korelację między miastami zaatakowanymi a tymi, które zostały dotknięte irańskimi uderzeniami rakietowymi w marcu. Gminy, często na pierwszej linii frontu w koordynowaniu pomocy i ocenie szkód po bombardowaniu, stanowiły atrakcyjne cele. Dostęp do ich systemów pocztowych pozwalał hakerom ocenić skuteczność uderzeń, technikę nazywaną „Bombing Damage Assessment”. Inne sektory, takie jak firmy technologiczne, transport i logistyka, a także zdrowie i przemysł, również zostały dotknięte, choć w mniejszym stopniu.
Gray Sandstorm i podejrzenia wokół autorów ataków
Jedna z poszlak prowadzi do Gray Sandstorm, grupy powiązanej z Gwardią Rewolucyjną Islamską. Jednak Check Point określa to przypisanie jako „umiarkowane zaufanie”, pozostawiając otwartą możliwość zaangażowania innych aktorów. Narzędzia i infrastruktura używane w ataku, takie jak Tor i VPN, są dostępne dla różnych grup, co utrudnia ostateczne przypisanie.
Ochrona firm technologicznych przed „password spraying”
Podczas gdy ataki „password spraying” nadal stanowią wyzwanie dla firm, staje się niezbędne wzmocnienie środków bezpieczeństwa. Przyjęcie uwierzytelniania wieloskładnikowego i wdrożenie solidnych polityk haseł to trendy, które należy śledzić, aby przeciwdziałać tym uporczywym zagrożeniom. Świadomość pracowników na temat znaczenia bezpieczeństwa cyfrowego może również odegrać kluczową rolę w ochronie wrażliwych danych.