Microsoft hoiatab paroolirünnakute eest 250 Office 365 kasutaja vastu

Viimati uuendatud juuni 20, 2023

Microsofti andmetel on Iisraeli ja USA kaitsetehnoloogia sektoris 250 Office 365 kasutaja vastu suunatud erinevad paroolide pihustamise rünnakud. Küberründajad üritavad tavaliste paroolide abil pääseda mitmele kontole. See tehnika sõltub kasutajatest, kes kasutavad levinud paroolide variatsioone.

Küberrünnakud keskendusid Pärsia lahes asuvale olulisele infrastruktuuriorganisatsioonile ja need korraldas rühm (tõenäoliselt iraanlane), mille jälg oli DEV-0343. See DEV-märgend tähendab, et küberkurjategijate rühmitus on kinnitamata riigi toetatud ründerühm, kuid võib selliseks saada.

Microsoft Threat Intelligence Center (MSTIC) teatas, et ta tajus, et DEV-0343 "viib läbi ulatusliku paroolide pihustamise enam kui 250 Office 365 rentniku vastu, keskendudes USA ja Iisraeli kaitsetehnoloogia ettevõtetele, Pärsia lahe sisenemissadamatele või ülemaailmsetele meretranspordiettevõtetele. äritegevusega Lähis-Idas."

Microsoft väitis, et ohustatud sihtüürnikke oli alla 20.

Organisatsioonidel, kes kasutavad religioosselt mitmefaktorilist autentimist, on paroolide pihustamise rünnakute oht märkimisväärselt väike.

See küberkurjategijate rühmitus on suunatud ettevõtetele, kes toetavad Iisraeli, ELi ja USA organisatsioone, mis toodavad droone, hädaolukordadele reageerimise sidesüsteeme, sõjalisi radareid, ruumianalüüsi, satelliidisüsteeme, mere- ja kaubatranspordiettevõtteid ning Pärsia lahe sadamaid selles piirkonnas.

Microsofti sõnul:

Microsoft hindab, et see sihtimine toetab Iraani valitsuse vastase julgeolekuteenuste ja merelaevanduse jälgimist Lähis-Idas, et tõhustada nende situatsiooniplaane. Juurdepääs kaubanduslikele satelliidipiltidele ning omandiõigusega laevandusplaanidele ja logidele võib aidata Iraanil kompenseerida arenevat satelliidiprogrammi.

Eelmisel nädalal heiskas Microsoft punase lipu Venemaa riiklikult toetatud häkkimise pärast, mis nimetas Venemaa luurehäkkereid aktiivseks ohuks kogu maailmas. Tehnikagigant teatas lisaks, et Kremli toetatud häkkerid on väga tõhusad ja viljakad. Samuti mainiti Iraani ettevõtete häkkimise märkimisväärset kasvu.

Microsofti viimases digitaalse kaitse aruandes märkis ettevõte:

"Tänavune aasta tähistas Iisraeli üksuste sihikule peaaegu neljakordistumist, mis tuleneb eranditult Iraani näitlejatest, kes keskendusid Iisraelile, kuna pinged vastaste vahel järsult suurenesid."

Tehnikagigandi hiljutises hoiatuses Iisraeli ja USA organisatsioonidele Lähis-Idas mainitakse, et nad peaksid olema valvsad ja jälgima kahtlaste Tor-ühenduste olemasolu oma võrkudes.

Microsoft hoiatas neid ajaveebipostituses:

"DEV-0343 viib läbi ulatuslikke paroolipihustusi, emuleerides Firefoxi brauserit ja kasutades Tori puhverserveri võrgus hostitud IP-sid. Nad on kõige aktiivsemad pühapäevast neljapäevani ajavahemikus 7.30–20.30 Iraani aja järgi (04.00–17.00 UTC), kusjuures aktiivsus väheneb oluliselt enne kella 7.30 ja pärast kella 8. 30 PM Iraani aja järgi. Tavaliselt sihivad nad olenevalt suurusest kümneid kuni sadu kontosid organisatsioonis ja loetlevad iga konto kümnetest kuni tuhandeteni. Iga organisatsiooni vastu suunatud rünnakutes kasutatakse keskmiselt 150–1000+ ainulaadset Tori puhverserveri IP-aadressi.

DEV-0343 korraldab sageli paroolide pihustamise rünnakuid ja sihib Exchange'i lõpp-punkte, nagu ActiveSync ja Autodiscover, mis võimaldab sellel häkkimisrühmal oma paroolide pihustamise tegevust veelgi täpsustada, ütles Microsoft.

Microsofti soovitatud peamine kaitse selle ohjeldamiseks on mitmefaktorilise autentimise lubamine. See blokeerib kaugjuurdepääsu kontodele. Samuti soovitab hiiglane jõustada Exchange Online'i juurdepääsupoliitikad, käitada sagedasi administraatorikontrolle ja otsida Tor-võrgust või muudest teenustest igasugust sissetulevat liiklust.