Microsoft идентифицировала новую кибергруппировку, возможно, связанную с Ираном, которая атакует пользователей Office 365 в американских, европейских и израильских оборонных компаниях.
Основным инструментом атаки является так называемое распыление паролей (password spraying). Это метод атаки, при котором злоумышленники пытаются применить один и тот же пароль ко множеству разных аккаунтов в надежде на то, что где-то произойдет совпадение. Благодаря использованию различных IP-адресов злоумышленникам удается замаскировать свои атаки от некоторых автоматических систем защиты, реагирующих на множественные попытки входа.
Ее действия эксперты описали как «совпадающие с национальными интересами Ирана». Такой вывод был сделан на основе используемых методик и мишеней; деятельность DEV-0343 во многом повторяет поведение других иранских хакерских групп.
По утверждению специалистов Microsoft, DEV-0343 проявляет особый интерес к оборонным компаниям, которые производят военные радары, технологии для беспилотных аппаратов, спутниковые системы и средства экстренной связи для США, ЕС и Израиля.
Кроме этого, злоумышленников интересуют разработчики систем географической информации и пространственного анализа. Некоторые атаки были направлены на важнейшие региональные порты Персидского залива и транспортные компании Ближнего востока.
Конечной целью операторов DEV-0343, указывается в исследовании, скорее всего является доступ к спутниковым данным, проприетарной информации о морском транспорте и другие сведения, которые поспособствуют развитию собственной спутниковой системы, которую разрабатывает Иран.
Жертв не так много: в исследовании Microsoft говорится менее чем о 20 организациях, использующих Office 365. Атаки были направлены на 250 организаций.
Аккаунты в системе, снабженные средствами многофакторной авторизации, устойчивы к атакам DEV-0343, утверждает Microsoft.
Злоумышленники используют сеть Tor для проведения атаки — распыление паролей осуществляется с сотен уникальных IP-адресов, причем для каждой организации используется свой набор адресов.
Среди признаков атаки, помимо активного входящего трафика Tor, — эмуляция браузеров FireFox и Chrome, используемых при распылении паролей, использование функции автообнаружения, Exchange Active Sync и наибольшая активность между четырьмя и одиннадцатью утра по Гринвичу.
Наиболее продуктивным способом защиты от атак DEV-0343 является многофакторная авторизация и средства беспарольной защиты.
«8% успеха для атак с распылением паролей — это все равно довольно высокий процент, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Особенно учитывая специфику атакованных компаний: защита поставщиков оборонных технологий должна быть на уровне куда выше среднего. К сожалению, это не всегда так. Более того, в данном случае Microsoft обвинить не в чем: операторы кампании атаковали именно пользовательские пароли и слабые настройки безопасности, а не какие-либо уязвимости в Office 365».