Nuovo furto di password per i clienti Office 365

L’autenticazione a più fattori risulta ancora lo strumento più efficace per contrastare gli hacker

Microsoft ha affermato che 250 clienti di Office 365 nel settore della tecnologia di difesa negli Stati Uniti e in Israele sono stati presi di mira con attacchi “password spraying”: questo tipo di attacchi vede gli aggressori tentare di accedere a molti account con password di uso comune. La tecnica prende di mira persone che utilizzano codici molto semplici.

Gli attacchi si sono concentrati su società di infrastrutture critiche che operano nel Golfo Persico e sono stati effettuati da un gruppo che Microsoft sta monitorando come DEV-0343, molto probabilmente un gruppo iraniano.

Il tag “DEV” indica che il gruppo non è sponsorizzato dallo stato, ma che alla fine potrebbe diventarlo.

Il Microsoft Threat Intelligence Center (MSTIC) ha affermato di aver osservato DEV-0343 “condurre un ampio attacco di password sprayng contro più di 250 tenant di Office 365, con particolare attenzione alle società di tecnologia di difesa statunitensi e israeliane, ai porti di ingresso del Golfo Persico o alle società di trasporto marittimo globale, con presenza commerciale in Medio Oriente.”

Microsoft ha affermato che “meno di 20” dei tenant presi di mira sono stati compromessi con successo.

Il rischio di compromissione da attacchi di password spray è notevolmente ridotto per le organizzazioni che implementano l’autenticazione a più fattori .

Il gruppo di hacker ha preso di mira le aziende che supportano le organizzazioni statunitensi, dell’Unione europea e israeliane che producono radar militari, droni, sistemi satellitari e sistemi di comunicazione di risposta alle emergenze, nonché sistemi di informazione geografica (GIS), analisi spaziale, porti del Golfo Persico e marittimi e cargo aziende di trasporto della regione.

“Microsoft valuta che questo targeting supporti il ​​monitoraggio del governo iraniano dei servizi di sicurezza avversari e della spedizione marittima in Medio Oriente per migliorare i propri piani di emergenza. Ottenere l’accesso a immagini satellitari commerciali e piani e registri di spedizione proprietari potrebbe aiutare l’Iran a compensare il suo programma satellitare in via di sviluppo”, ha affermato Microsoft.

La scorsa settimana Microsoft ha alzato una bandiera rossa sull’hacking sponsorizzato dallo stato russo, etichettando gli hacker dell’intelligence russa come  la minaccia informatica più attiva al mondo . Secondo l’azienda di Redmond, non solo gli hacker sostenuti dal Cremlino sono più prolifici, ma sono anche sempre più efficaci. Ha anche segnalato un significativo aumento degli hack iraniani contro le organizzazioni israeliane.

“Quest’anno ha segnato una quasi quadruplicazione nel prendere di mira le entità israeliane, un risultato esclusivamente di attori iraniani, che si sono concentrati su Israele mentre le tensioni tra gli avversari aumentavano bruscamente”, ha osservato Microsoft nel suo ultimo rapporto sulla difesa digitale.

Il suo ultimo avvertimento alle organizzazioni statunitensi e israeliane che operano in Medio Oriente dice che dovrebbero essere alla ricerca di connessioni Tor sospette alle loro reti.

“DEV-0343 esegue estesi attacchi password spray emulando un browser Firefox e utilizzando IP ospitati su una rete proxy Tor. Sono più attivi tra domenica e giovedì tra le 7:30 e le 20:30, ora dell’Iran, con significativi cali di attività prima delle 7:30 e dopo le 20:30, ora dell’Iran. Tipicamente prendono di mira da dozzine a centinaia di account all’interno di un’organizzazione, a seconda delle dimensioni, ed enumerano ogni account da dozzine a migliaia di volte. In media, negli attacchi contro ogni organizzazione vengono utilizzati tra 150 e 1.000+ indirizzi IP proxy Tor univoci”, ha avvertito Microsoft in un post sul blog.

DEV-0343 prende di mira frequentemente gli endpoint di Exchange, inclusi Autodiscover e ActiveSync, con attacchi di password spray. Ciò consente a agli hacker di convalidare account e password attivi e di perfezionare ulteriormente le attività di password spray.

La principale difesa consigliata da Microsoft è abilitare l’autenticazione a più fattori poiché ciò dovrebbe bloccare l’accesso remoto agli account con credenziali compromesse.

Raccomanda inoltre agli amministratori di controllare e applicare i criteri di accesso di Exchange Online e di bloccare tutto il traffico in entrata proveniente da servizi come la rete Tor.

Le informazioni presenti in questo post, sono prese dall’articolo: Microsoft warns over password attacks against these Office 365 customers