مايكروسوفت: قراصنة إيرانيون يعثرون على حسابات Office 365 «مليئة بكلمات المرور
كشفت مايكروسوفت مؤخرًا أن مجموعة من القراصنة الإيرانيين يهاجمون حسابات Office 365 لمختلف المؤسسات والأفراد باستخدام تقنية تسمى «رش كلمات المرور». رش كلمات المرور هو نوع من هجمات القوة الغاشمة التي تنطوي على تجربة كلمات مرور شائعة بأسماء مستخدمين متعددة، على أمل العثور على تطابق.
على عكس هجمات القوة الغاشمة التقليدية التي تختبر العديد من كلمات المرور مقابل اسم مستخدم واحد، فإن اختراق كلمات المرور أقل احتمالاً أن يؤدي إلى إغلاق الحساب أو تنبيهات الأمان.
ووفقًا لما ذكرته شركة مايكروسوفت، فإن القراصنة الإيرانيين، الذين يُطلق عليهم اسم «فوسفوروس»، يشنون حملات اختراق لكلمات المرور منذ سبتمبر 2020، مستهدفين حسابات وكالات حكومية ومراكز أبحاث وصحفيين ونشطاء وأكاديميين وشخصيات بارزة أخرى.
استخدم القراصنة أيضًا أساليب أخرى لاختراق الحسابات، مثل رسائل البريد الإلكتروني التصيدية وسرقة بيانات الاعتماد والبرمجيات الخبيثة. تُقدِّر مايكروسوفت أن برنامج Phosphorus حاول الوصول إلى حسابات حوالي 25,000 شخص في 76 دولة خلال العام الماضي.
نبهت مايكروسوفت العملاء المتأثرين وقدمت إرشادات حول كيفية حماية حساباتهم. كما أوصت الشركة أيضاً ببعض أفضل الممارسات لمنع هجمات توزيع كلمات المرور، مثل تمكين المصادقة متعددة العوامل (MFA)، واستخدام كلمات مرور قوية وفريدة من نوعها، ومراقبة نشاط تسجيل الدخول. كما حثت مايكروسوفت العملاء على الإبلاغ عن أي نشاط مشبوه أو خبيث إلى فريق الأمن التابع لها.
لا يُعد رش كلمات المرور تهديدًا جديدًا، ولكنه أصبح أكثر انتشارًا وتعقيدًا مع زيادة استخدام القراصنة للخدمات السحابية والعمل عن بُعد بسبب جائحة كوفيد-19. يجب على المؤسسات والأفراد أن يكونوا على دراية بالمخاطر وأن يتخذوا خطوات استباقية لحماية حساباتهم وبياناتهم على الإنترنت.
أصدرت مايكروسوفت تنبيهًا بشأن مجموعة من القراصنة، من المحتمل أن يكونوا تابعين لإيران، حاولوا اختراق حسابات Office 365 من خلال تخمين كلمات المرور.
وقالت الشركة في منشور على مدونتها يوم الاثنين إن القراصنة استهدفوا شركات الدفاع الأمريكية والأوروبية والإسرائيلية التي تعمل على «رادار من الدرجة العسكرية وتكنولوجيا الطائرات بدون طيار وأنظمة الأقمار الصناعية وأنظمة اتصالات الاستجابة للطوارئ».
وقالت مايكروسوفت إن مجموعة القرصنة تقوم بهجمات «رش كلمات المرور» هذه ضد 250 «مستأجرًا» من مستأجري Office 365. يشمل هؤلاء المستأجرون جميع موارد المؤسسة، مثل حسابات المستخدمين، التي تتم استضافتها على خدمة مايكروسوفت السحابية.
منشور على المدونة حول مجموعة القرصنة الإيرانية DEV-0343 وأنشطتها.
كشفت مايكروسوفت مؤخرًا عن قيام مجموعة قرصنة مرتبطة بإيران بمهاجمة شركات تصوير الأقمار الصناعية وشركات الشحن في الشرق الأوسط. وكانت المجموعة، التي تطلق عليها مايكروسوفت اسم DEV-0343، تستخدم هجمات اختراق كلمات المرور لاختراق حسابات البريد الإلكتروني للموظفين والوصول إلى معلومات حساسة.
هجمات اختراق كلمات المرور هي نوع من هجمات القوة الغاشمة التي تتضمن تجربة كلمات مرور شائعة على عدد كبير من عناوين البريد الإلكتروني. وعادةً ما يتجنب المهاجمون تشغيل عمليات قفل الحسابات عن طريق توزيع المحاولات على مدار الوقت وعبر عناوين IP مختلفة. وتقول مايكروسوفت إن DEV-0343 يستخدم هذا الأسلوب منذ يوليو 2020 على الأقل واستهدف مؤسسات في الولايات المتحدة والمملكة المتحدة وألمانيا والهند والإمارات العربية المتحدة.
ووفقًا لمايكروسوفت، فإن الهدف الرئيسي لمجموعة DEV-0343 هو دعم مصالح الحكومة الإيرانية في المنطقة، وخاصة في المجال البحري. وقد كانت المجموعة مهتمة بالحصول على صور الأقمار الصناعية التجارية وبيانات الشحن الخاصة التي يمكن أن تساعد إيران على مراقبة خصومها والتخطيط لحالات الطوارئ. وتشير شركة مايكروسوفت إلى أن إيران لديها برنامج أقمار صناعية متطور يواجه تحديات مثل العقوبات الأمريكية وفشل الإطلاق.
تحذر مايكروسوفت من أن DEV-0343 من المحتمل أن يستمر في هجمات رش كلمات المرور وتنصح العملاء باتخاذ تدابير وقائية، مثل تمكين المصادقة متعددة العوامل، واستخدام كلمات مرور قوية وفريدة من نوعها، ومراقبة محاولات تسجيل الدخول المشبوهة. كما تقدم مايكروسوفت أيضاً خدمات الحماية من التهديدات التي يمكن أن تساعد في اكتشاف مثل هذه الهجمات والتصدي لها.
