Спецпроекты

Безопасность

Иранские хакеры ведут охоту на военные секреты США и Израиля, взламывая Office 365

Microsoft выявила новую группировку, предположительно связанную с Ираном, которая атакует пользователей Office 365 в американских и израильских оборонных компаниях. Количество попаданий меньше 10%, но и это слишком много.

Типичная иранская кампания

Microsoft идентифицировала новую кибергруппировку, возможно, связанную с Ираном, которая атакует пользователей Office 365 в американских, европейских и израильских оборонных компаниях.

Основным инструментом атаки является так называемое распыление паролей (password spraying). Это метод атаки, при котором злоумышленники пытаются применить один и тот же пароль ко множеству разных аккаунтов в надежде на то, что где-то произойдет совпадение. Благодаря использованию различных IP-адресов злоумышленникам удается замаскировать свои атаки от некоторых автоматических систем защиты, реагирующих на множественные попытки входа.

Эксперты Центра отслеживания угроз (Threat Intelligence Center) и Отдела цифровой безопасности (Digital Security Unit) Microsoft изучали эту группировку с июля 2021 г. Они присвоили ей обозначение DEV-0343.

Ее действия эксперты описали как «совпадающие с национальными интересами Ирана». Такой вывод был сделан на основе используемых методик и мишеней; деятельность DEV-0343 во многом повторяет поведение других иранских хакерских групп.

ssha600.jpg
Иранские хакеры используют распыление паролей против оборонных компаний

По утверждению специалистов Microsoft, DEV-0343 проявляет особый интерес к оборонным компаниям, которые производят военные радары, технологии для беспилотных аппаратов, спутниковые системы и средства экстренной связи для США, ЕС и Израиля.

Кроме этого, злоумышленников интересуют разработчики систем географической информации и пространственного анализа. Некоторые атаки были направлены на важнейшие региональные порты Персидского залива и транспортные компании Ближнего востока.

Конечной целью операторов DEV-0343, указывается в исследовании, скорее всего является доступ к спутниковым данным, проприетарной информации о морском транспорте и другие сведения, которые поспособствуют развитию собственной спутниковой системы, которую разрабатывает Иран.

8% успеха

Своих клиентов, пострадавших от действий DEV-0343, корпорация Microsoft приватным порядком проинформировала и об атаках, и о способах защититься от них.

Жертв не так много: в исследовании Microsoft говорится менее чем о 20 организациях, использующих Office 365. Атаки были направлены на 250 организаций.

Аккаунты в системе, снабженные средствами многофакторной авторизации, устойчивы к атакам DEV-0343, утверждает Microsoft.

Злоумышленники используют сеть Tor для проведения атаки — распыление паролей осуществляется с сотен уникальных IP-адресов в сети Tor, причем для каждой организации используется свой набор адресов.

Среди признаков атаки, помимо активного входящего трафика Tor, — эмуляция браузеров FireFox и Chrome, используемых при распылении паролей, использование функции автообнаружения и Exchange Active Sync и наибольшая активность между четырьмя и одиннадцатью утра по Гринвичу.

Наиболее продуктивным способом защиты от атак DEV-0343 является многофакторная авторизация и средства беспарольной защиты.

«8% успеха для атак с распылением паролей — это все равно довольно высокий процент, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Особенно учитывая специфику атакованных компаний: защита поставщиков оборонных технологий должна быть на уровне куда выше среднего. К сожалению, это не всегда так. Более того, в данном случае Microsoft обвинить не в чем: операторы кампании атаковали именно пользовательские пароли и слабые настройки безопасности, а не какие-либо уязвимости в Office 365».

Роман Георгиев

Короткая ссылка