La amenaza emergente, que probablemente apoye los intereses nacionales de Irán, está detrás de una campaña dirigida a las empresas de tecnología de defensa de EE. UU., Europa e Israel, y se observan más actividades contra los puertos de entrada regionales del Golfo y los transportistas de carga y envío de Oriente Medio.

Microsoft monitorea al equipo de hackers bajo el apodo DEV-0343.

Se espera que las intrusiones, observadas por primera vez a fines de julio de 2021, apunten a más de 250 inquilinos de Office 365, de los cuales menos de 20 se han visto comprometidos con éxito después de un ataque de fuerza bruta tipo spray de contraseña que cicla la misma contraseña. contra diferentes nombres de usuario para iniciar sesión en la aplicación o red para evitar el bloqueo de cuentas.

La evidencia hasta la fecha sugiere que esta actividad es parte de una campaña antirrobo dirigida a socios gubernamentales que producen radares de grado militar, tecnología de drones, sistemas satelitales y sistemas de comunicaciones de respuesta a emergencias con el objetivo probable de robar imágenes satelitales comerciales e información patentada.

La conexión DEV-0343 de Irán se basa en evidencia de «objetivos transversales geográficos y sectoriales generalizados con actores iraníes y alineación de técnicas y objetivos con otros actores de Irán», investigadores del Microsoft Threat Intelligence Center (MSTIC) y la Unidad de Seguridad Digital (DSU). ) dijo. .

Los aerosoles de contraseña emulan los navegadores Firefox y Google Chrome y se basan en una serie de direcciones IP de proxy Tor únicas que se utilizan explícitamente para ocultar su infraestructura operativa. Sabiendo que los ataques culminaron entre el domingo y el jueves de 7:30 a 20:30 hora iraní (4:00 a 17:00 UTC), Microsoft dijo que el objetivo era de decenas a cientos de cuentas dentro de la entidad, dependiendo del tamaño. .

El gigante de la tecnología con sede en Redmond también destacó las similitudes entre la herramienta de rociado de contraseñas y la herramienta «o365spray», una herramienta de código abierto actualizada activamente centrada en Microsoft Office 365, y ahora insta a los clientes a habilitar la autenticación multifactor para mitigar las credenciales comprometidas. y prohibir todo el tráfico entrante de los servicios de anonimización siempre que sea posible.

«Obtener acceso a imágenes satelitales comerciales y planes y protocolos de transporte patentados podría ayudar a Irán a compensar su programa satelital en evolución», dijeron los investigadores. “Dados los ataques cibernéticos y militares anteriores de Irán contra objetivos navales y marítimos, Microsoft cree que esta actividad aumenta el riesgo para las empresas en estos sectores”.