هشدار حمله تازه هکرهای مرتبط با ایران به نهادهای دفاعی آمریکا و اسرائیل توسط مایکروسافت
اخبار داغ فناوری اطلاعات و امنیت شبکهیکی از عوامل تهدید نوظهور که احتمالاً از جانب ایران حمایت میشود، در پس کمپین اسپریینگ رمز عبور برای هدف قرار دادن شرکتهای فناوری دفاعی ایالات متحده، اتحادیه اروپا و اسرائیل بوده است و فعالیتهای بیشتری در زمینه حمله به بنادر مناطق ورودی خلیج فارس و همچنین شرکتهای حمل و نقل دریایی متمرکز در خاورمیانه داشته است.
مایکروسافت این تیم و گروه هک تحت نام DEV-0343 معرفی کرده است.
به نقل از هکر نیوز، اعتقاد بر این است این نفوذها، که برای اولین بار در اواخر جولای سال ۲۰۲۱ مشاهده شد، بیش از ۲۵۰ مجموعه کاربر Office 365 را هدف قرار داده بود که کمتر از ۲۰ مورد از آنها در پی حمله اسپریینگ گذرواژه به شکل موفقیتآمیز به خطر افتاده بودند. این حمله نوعی حمله عظیم بود که در آن از رمز عبور یکسان به صورت چرخشی برای نامهای کاربری مختلف جهت ورود به برنامه یا شبکه و در راستای تلاش برای جلوگیری از قفل شدن حسابهای کاربری استفاده شده است.
تا کنون نشانههایی مبنی بر این احتمال مشاهده شده است که این فعالیت بخشی از کمپین سرقت مالکیت معنوی است که هدف آن شرکای دولتی تولید رادارهای گرید نظامی، فناوری هواپیماهای بدون سرنشین، سیستمهای ماهوارهای و سیستمهای ارتباط اضطراری با هدف سرقت اطلاعات تصاویر تجاری ماهوارهای و اختصاصی است.
محققان مرکز اطلاعات تهدید مایکروسافت (MSTIC) و واحد امنیت دیجیتال (DSU) گفت: ارتباط DEV-0343 با ایران بر اساس شواهد تلاقی گسترده در زمینه هدفگیری جغرافیایی و جزئی با عاملان ایرانی و همچنین همسویی تکنیکها و اهداف با عاملان دیگری که با ایران مرتبط هستند، استوار است.
پخشکنندههای گذرواژه از مرورگرهای Firefox و Google Chrome تقلید میکنند و به مجموعهای از آدرسهای پروکسی IP منحصر به فرد Tor تکیه میکنند. آنها از آدرسهایی استفاده میکنند که مشخصاً برای مبهمسازی زیرساختهای عملیاتی آنها استفاده میشود. مایکروسافت با اشاره به اینکه اوج حملات بین روزهای یکشنبه و پنجشنبه از ساعت 7:30 صبح تا 8:30 بعد از ظهر به وقت ایران (4 صبح تا 5 بعد از ظهر UTC) صورت گرفته است، گفت که در این حملات دهها تا صدها حساب در یک نهاد بسته به اندازه آن مجموعه، مورد هدف قرار میگیرند.
این غول فناوری مستقر در ردموند همچنین به شباهت ابزار اسپریینگ رمز عبور با "o365spray" که یک ابزار متن باز فعال به روز شده هدف آن Microsoft Office 365 است، اشاره کرد. این مجموعه از مشتریان خود خواست تا احراز هویت چند عاملی را برای کاهش حجم اعتبارنامههای آسیب دیده، فعال کنند و هرگونه تبادلات ورودی از محلهای خدمات ناشناس در هر کجا که امکان دارد را ممنوع نمایند.
محققان میگویند: "دسترسی به تصاویر ماهوارهای تجاری و برنامههای حمل و نقل اختصاصی و جزییات مربوطه میتواند به ایران در پیشبرد برنامه ماهوارهای در حال توسعهاش کمک کند. با توجه به حملات سایبری و نظامی ایران در گذشته علیه اهداف کشتیرانی و دریایی، مایکرؤسافت معتقد است که این فعالیت احتمال به خطر افتادن شرکتهای این بخشها را افزایش میدهد″.
برچسب ها: o365spray, DSU, MSTIC, password spraying, DEV-0343, Tor, cybersecurity, Firefox, office 365, Google Chrome, ایران, malware, ransomware , اسرائیل, مایکروسافت, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری