Microsoft varoittaa salasanahyökkäyksistä 250 Office 365 -käyttäjää vastaan
Microsoftin mukaan useita salasanojen ruiskutushyökkäyksiä on kohdistettu 250 Office 365 -käyttäjää vastaan Israelin ja Yhdysvaltojen puolustusteknologiasektorilla. Kyberhyökkääjät yrittävät päästä useille tileille yleisillä salasanoilla. Tämä tekniikka riippuu käyttäjistä, jotka käyttävät yleisten salasanojen muunnelmia.
Kyberhyökkäykset kohdistuivat merkittävään Persianlahdella sijaitsevaan infrastruktuuriorganisaatioon, ja ne toteutti ryhmä (todennäköisesti iranilainen), joka jäljitettiin nimellä DEV-0343. Tämä DEV-tunniste tarkoittaa, että kyberrikollisryhmä on vahvistamaton valtion tukema hyökkäysryhmä, mutta siitä voi mahdollisesti tulla sellainen.
Microsoft Threat Intelligence Center (MSTIC) totesi, että se havaitsi DEV-0343:n "sumuttavan laajaa salasanaa yli 250 Office 365 -vuokralaista vastaan keskittyen yhdysvaltalaisiin ja israelilaisiin puolustusteknologiayrityksiin, Persianlahden tulosatamiin tai maailmanlaajuisiin merikuljetusyrityksiin. liiketoimintaa Lähi-idässä."
Microsoft väitti, että kohteena olevia vuokralaisia oli alle 20.
Organisaatioilla, jotka käyttävät uskonnollisesti monitekijätodennusta, on erittäin pieni mahdollisuus päästä kompromisseihin salasanojen ruiskutushyökkäyksillä.
Tämä kyberrikollinen ryhmä kohdistuu yrityksiin, jotka tukevat israelilaisia, EU:n ja Yhdysvaltojen organisaatioita, jotka tuottavat droneja, hätäviestintäjärjestelmiä, sotilaallisia tutkia, tilaanalytiikkaa, satelliittijärjestelmiä, meri- ja rahtikuljetusyrityksiä sekä Persianlahden satamia alueella.
Microsoftin mukaan:
"Microsoft arvioi, että tämä kohdistus tukee Iranin hallituksen vihollisen turvallisuuspalvelujen ja meriliikenteen seurantaa Lähi-idässä parantaakseen valmiussuunnitelmiaan. Pääsy kaupallisiin satelliittikuviin ja omistukseensa oleviin kuljetussuunnitelmiin ja lokeihin voisi auttaa Irania kompensoimaan kehittyvän satelliittiohjelmansa.
Microsoft nosti viime viikolla punaisen lipun Venäjän valtion tukemasta hakkeroinnista, joka leimaa Venäjän tiedustelupalvelun hakkerit aktiiviseksi uhkaksi kaikkialla maailmassa. Teknologiajätti julisti lisäksi, että Kremlin tukemat hakkerit ovat erittäin tehokkaita ja tuottelias. Se mainitsi myös Iranin iranilaisten yritysten hakkeroinnin merkittävän lisääntymisen.
Microsoftin viimeisimmässä Digital Defense -raportissa yhtiö totesi:
"Tänä vuonna Israelin entiteettien kohteeksi joutuminen lähes nelinkertaistui, mikä johtui yksinomaan iranilaisista toimijoista, jotka keskittyivät Israeliin, kun jännitteet lisääntyivät jyrkästi vastustajien välillä."
Teknologiajätin äskettäinen varoitus israelilaisille ja yhdysvaltalaisille järjestöille Lähi-idässä mainitsee, että niiden tulisi olla valppaita ja varoa epäilyttäviä Tor-yhteyksiä verkoissaan.
Microsoft varoitti heitä blogiviestissä:
"DEV-0343 suorittaa laajoja salasanasuihkeita emuloimalla Firefox-selainta ja käyttämällä Tor-välityspalvelinverkossa olevia IP-osoitteita. Ne ovat aktiivisimpia sunnuntaista torstaihin kello 7.30–20.30 Iranin aikaa (04:00 ja 17:00 UTC), ja aktiivisuus vähenee merkittävästi ennen klo 7.30 ja klo 8 jälkeen: 30 PM Iranin aikaa. Ne kohdistavat tyypillisesti kymmeniin tai satoihin tileihin organisaatiossa koosta riippuen ja luettelevat jokaisen tilin kymmenistä – tuhansiin kertoihin. Hyökkäyksissä kutakin organisaatiota vastaan käytetään keskimäärin 150–1 000+ ainutlaatuista Tor-välityspalvelimen IP-osoitetta.
DEV-0343 suorittaa usein salasanojen ruiskutushyökkäyksiä ja kohdistuu Exchange-päätepisteisiin, kuten ActiveSynciin ja Autodiscoveriin, mikä antaa tälle hakkerointiryhmälle mahdollisuuden tarkentaa salasanan ruiskutustoimintaansa edelleen, Microsoft sanoi.
Microsoftin suosittelema ensisijainen suojaus tämän hillitsemiseksi on monitekijätodennuksen mahdollistaminen. Tämä estää etäkäytön tileille. Jättiläinen suosittelee myös Exchange Online -käyttökäytäntöjen noudattamista, säännöllisten järjestelmänvalvojan tarkistusten suorittamista ja kaikenlaisen saapuvan liikenteen etsimistä Tor-verkosta tai muista palveluista.