Um ator de ameaça emergente provavelmente apoiando os interesses nacionais iranianos está por trás de uma campanha de divulgação de senhas visando empresas de tecnologia de defesa dos EUA, EU e Israel, com atividade adicional observada contra portos regionais de entrada no Golfo Pérsico, bem como empresas de transporte marítimo e de carga focadas em o Oriente Médio.
A Microsoft está rastreando a equipe de hackers sob o apelido DEV-0343 .
Acredita-se que as invasões, que foram observadas pela primeira vez no final de julho de 2021, tenham como alvo mais de 250 locatários do Office 365, menos de 20 dos quais foram comprometidos com sucesso após um ataque de spray de senha, um tipo de ataque de força bruta em que a mesma senha é ciclada contra diferentes nomes de usuário para fazer login em um aplicativo ou rede em um esforço para evitar bloqueios de conta.
As indicações até agora aludem à possibilidade de que a atividade seja parte de uma campanha de roubo de propriedade intelectual destinada a parceiros do governo que produzem radares de nível militar, tecnologia de drones, sistemas de satélite e sistemas de comunicação de resposta a emergências com o provável objetivo de roubar imagens de satélite comerciais e proprietárias em formação.
A conexão iraniana do DEV-0343 é baseada em evidências de “amplo cruzamento em segmentação geográfica e setorial com atores iranianos e alinhamento de técnicas e alvos com outro ator originário do Irã”, conforme os pesquisadores do Centro de Inteligência de Ameaças da Microsoft (MSTIC) e Unidade de Segurança Digital ( DSU).
Os sprays de senha emulam os navegadores Firefox e Google Chrome e contam com uma série de endereços IP de proxy Tor exclusivos expressamente usados para ofuscar sua infraestrutura operacional. Observando que os ataques atingiram o pico entre domingo e quinta-feira, das 7h30 às 20h30, horário do Irã (4h às 17h UTC), a Microsoft disse que dezenas a centenas de contas dentro de uma entidade foram alvejadas, dependendo do tamanho .
A gigante da tecnologia baseada em Redmond também apontou as semelhanças da ferramenta de pulverização de senha com a do ” o365spray ” , um utilitário de código aberto ativamente voltado para o Microsoft Office 365, e agora está pedindo aos clientes que habilitem a autenticação multifator para mitigar credenciais comprometidas e proibir todo o tráfego de entrada de serviços de anonimato, sempre que aplicável.
“Ter acesso a imagens de satélite comerciais e planos e registros proprietários de remessas poderia ajudar o Irã a compensar o desenvolvimento de seu programa de satélite”, conforme os pesquisadores. “Devido aos ataques cibernéticos e militares anteriores do Irã contra alvos marítimos e de navegação, a Microsoft acredita que esta atividade aumenta o risco para as empresas nesses setores.”
Este artigo é uma tradução de: https://thehackernews.com/2021/10/microsoft-warns-of-iran-linked-hackers.html