Selon Microsoft, diverses attaques par pulvérisation de mots de passe ont été ciblées contre les 250 utilisateurs d'Office 365 dans le secteur des technologies de défense israélien et américain. Les cyber-attaquants tentent d'accéder à plusieurs comptes en utilisant des mots de passe communs. Cette technique dépend des utilisateurs qui utilisent des variantes de mots de passe courants.
Les cyberattaques se sont concentrées sur une organisation d'infrastructure importante située dans le golfe Persique et ont été menées par un groupe (probablement iranien) suivi sous le nom de DEV-0343. Cette balise DEV signifie que le groupe cybercriminel est un groupe d'attaque parrainé par l'État non confirmé, mais qu'il peut potentiellement en devenir un.
Le Microsoft Threat Intelligence Center (MSTIC) a déclaré qu'il percevait le DEV-0343 "effectuant une vaste pulvérisation de mots de passe contre plus de 250 locataires d'Office 365, en mettant l'accent sur les entreprises de technologie de défense américaines et israéliennes, les ports d'entrée du golfe Persique ou les entreprises mondiales de transport maritime. avec une présence commerciale au Moyen-Orient."
Microsoft a affirmé que les locataires ciblés compromis étaient inférieurs à 20.
Les organisations qui déploient religieusement l'authentification multifacteur ont très peu de chances d'être compromises par des attaques par pulvérisation de mot de passe.
Ce groupe cybercriminel cible les entreprises soutenant des organisations israéliennes, européennes et américaines qui produisent des drones, des systèmes de communication d'intervention d'urgence, des radars militaires, des analyses spatiales, des systèmes satellitaires, des entreprises de transport maritime et de fret et des ports du golfe Persique dans la région.
Selon Microsoft :
« Microsoft évalue que ce ciblage soutient le suivi par le gouvernement iranien des services de sécurité et de la navigation maritime adverses au Moyen-Orient afin d'améliorer leurs plans d'urgence. L'accès à l'imagerie satellitaire commerciale et aux plans et journaux de navigation exclusifs pourrait aider l'Iran à compenser son programme de satellite en développement »,
La semaine dernière, un drapeau rouge a été levé par Microsoft sur le piratage parrainé par l'État russe qui a qualifié les pirates informatiques russes de menace active à travers le monde. Le géant de la technologie a en outre déclaré que les pirates soutenus par le Kremlin sont très efficaces et prolifiques. Il a également mentionné une augmentation significative du piratage iranien sur les entreprises iraniennes.
Dans le dernier rapport sur la défense numérique de Microsoft, la société a noté :
"Cette année a marqué un quasi-quadruplement du ciblage des entités israéliennes, résultat exclusivement d'acteurs iraniens, qui se sont concentrés sur Israël alors que les tensions s'intensifiaient entre les adversaires"
Le récent avertissement du géant de la technologie aux organisations israéliennes et américaines au Moyen-Orient mentionne qu'elles doivent être vigilantes et rechercher les connexions Tor suspectes sur leurs réseaux.
Microsoft les a avertis dans un article de blog :
« DEV-0343 effectue des pulvérisations de mots de passe étendues émulant un navigateur Firefox et utilisant des adresses IP hébergées sur un réseau proxy Tor. Ils sont les plus actifs entre le dimanche et le jeudi entre 7h30 et 20h30, heure de l'Iran (04:00:00 et 17:00:00 UTC) avec des baisses d'activité importantes avant 7h30 et après 8h : 30 heures, heure iranienne. Ils ciblent généralement des dizaines à des centaines de comptes au sein d'une organisation, selon la taille, et énumèrent chaque compte des dizaines à des milliers de fois. En moyenne, entre 150 et plus de 1 000 adresses IP proxy Tor uniques sont utilisées dans les attaques contre chaque organisation »,
DEV-0343 mène fréquemment des attaques de pulvérisation de mots de passe et cible les terminaux Exchange, comme ActiveSync et Autodiscover, ce qui permet à ce groupe de piratage d'affiner davantage son activité de pulvérisation de mots de passe, a déclaré Microsoft.
La principale défense recommandée par Microsoft pour limiter cela est l'activation de l'authentification multifacteur. Cela bloquera l'accès à distance aux comptes. Le géant recommande également d'appliquer les politiques d'accès Exchange Online, d'effectuer des vérifications administratives fréquentes et de rechercher tout type de trafic entrant provenant d'un réseau Tor ou d'autres services.