Иранские хакеры ведут охоту на военные секреты США и Израиля, взламывая Office 365
Количество попаданий меньше 10%, но и это слишком много.
Типичная иранская кампания
Microsoft идентифицировала новую кибергруппировку, возможно, связанную с Ираном, которая атакует пользователей Office 365 в американских, европейских и израильских оборонных компаниях.
Основным инструментом атаки является так называемое распыление паролей (password spraying). Это метод атаки, при котором злоумышленники пытаются применить один и тот же пароль ко множеству разных аккаунтов в надежде на то, что где-то произойдет совпадение. Благодаря использованию различных IP-адресов злоумышленникам удается замаскировать свои атаки от некоторых автоматических систем защиты, реагирующих на множественные попытки входа.
Эксперты Центра отслеживания угроз (Threat Intelligence Center) и Отдела цифровой безопасности (Digital Security Unit) Microsoft изучали эту группировку с июля 2021 г. Они присвоили ей обозначение DEV-0343.
Ее действия эксперты описали как «совпадающие с национальными интересами Ирана». Такой вывод был сделан на основе используемых методик и мишеней; деятельность DEV-0343 во многом повторяет поведение других иранских хакерских групп.
По утверждению специалистов Microsoft, DEV-0343 проявляет особый интерес к оборонным компаниям, которые производят военные радары, технологии для беспилотных аппаратов, спутниковые системы и средства экстренной связи для США, ЕС и Израиля.
Кроме этого, злоумышленников интересуют разработчики систем географической информации и пространственного анализа. Некоторые атаки были направлены на важнейшие региональные порты Персидского залива и транспортные компании Ближнего востока.
Конечной целью операторов DEV-0343, указывается в исследовании, скорее всего является доступ к спутниковым данным, проприетарной информации о морском транспорте и другие сведения, которые поспособствуют развитию собственной спутниковой системы, которую разрабатывает Иран.
8% успеха
Своих клиентов, пострадавших от действий DEV-0343, корпорация Microsoft приватным порядком проинформировала и об атаках, и о способах защититься от них.
Жертв не так много: в исследовании Microsoft говорится менее чем о 20 организациях, использующих Office 365. Атаки были направлены на 250 организаций.
Аккаунты в системе, снабженные средствами многофакторной авторизации, устойчивы к атакам DEV-0343, утверждает Microsoft.
Злоумышленники используют сеть Tor для проведения атаки — распыление паролей осуществляется с сотен уникальных IP-адресов в сети Tor, причем для каждой организации используется свой набор адресов.
Среди признаков атаки, помимо активного входящего трафика Tor, — эмуляция браузеров FireFox и Chrome, используемых при распылении паролей, использование функции автообнаружения и Exchange Active Sync и наибольшая активность между четырьмя и одиннадцатью утра по Гринвичу.
Наиболее продуктивным способом защиты от атак DEV-0343 является многофакторная авторизация и средства беспарольной защиты.
«8% успеха для атак с распылением паролей — это все равно довольно высокий процент, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Особенно учитывая специфику атакованных компаний: защита поставщиков оборонных технологий должна быть на уровне куда выше среднего. К сожалению, это не всегда так. Более того, в данном случае Microsoft обвинить не в чем: операторы кампании атаковали именно пользовательские пароли и слабые настройки безопасности, а не какие-либо уязвимости в Office 365».
похожие материалы
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.
УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений).
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.
Кибергруппа Everest заявила о краже 900 ГБ данных у Nissan
Кибергруппа, связанная с вымогательским ПО Everest, сообщила о предполагаемом взломе информационных систем японского автопроизводителя Nissan и хищении около 900 ГБ данных.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра.
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
ИИ учится мыслить без данных
Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
X вскоре опубликует исходный код нового алгоритма рекомендаций
Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.