Microsoft: gli hacker iraniani hanno trovato account Office 365 «cosparsi di password».

Microsoft ha recentemente rivelato che un gruppo di hacker iraniani ha attaccato gli account Office 365 di varie organizzazioni e privati utilizzando una tecnica chiamata «password spraying». Il password spraying è un tipo di attacco a forza bruta che consiste nel provare password comuni con più nomi utente, nella speranza di trovare una corrispondenza.

A differenza dei tradizionali attacchi brute-force che testano molte password rispetto a un nome utente, il cracking delle password ha meno probabilità di provocare il blocco dell’account o avvisi di sicurezza.

Secondo Microsoft, gli hacker iraniani, soprannominati Phosphorus, hanno condotto campagne di cracking delle password a partire da settembre 2020, prendendo di mira gli account di agenzie governative, think tank, giornalisti, attivisti, accademici e altre figure di spicco.

Gli hacker hanno utilizzato anche altri metodi per compromettere gli account, come e-mail di phishing, furto di credenziali e malware. Microsoft stima che Phosphorus abbia tentato di accedere agli account di circa 25.000 persone in 76 paesi nell’ultimo anno.

Microsoft ha avvisato i clienti interessati e ha fornito indicazioni su come proteggere i loro account. L’azienda ha anche raccomandato alcune best practice per prevenire gli attacchi di distribuzione delle password, come l’attivazione dell’autenticazione a più fattori (MFA), l’utilizzo di password forti e uniche e il monitoraggio delle attività di login. Microsoft ha anche invitato i clienti a segnalare qualsiasi attività sospetta o dannosa al suo team di sicurezza.

La spruzzatura di password non è una minaccia nuova, ma sta diventando sempre più diffusa e sofisticata in quanto gli hacker approfittano dell’aumento dell’uso dei servizi cloud e del lavoro da remoto a causa della pandemia COVID-19. Le organizzazioni e i singoli individui devono essere consapevoli dei rischi e adottare misure proattive per proteggere i propri account e dati online.

Microsoft ha lanciato un allarme su un gruppo di hacker, probabilmente affiliati all’Iran, che hanno tentato di compromettere gli account Office 365 indovinando le password.

Gli hacker hanno preso di mira aziende della difesa statunitensi, europee e israeliane che lavorano su «radar di livello militare, tecnologia per droni, sistemi satellitari e sistemi di comunicazione per la risposta alle emergenze», ha dichiarato l’azienda in un post sul blog di lunedì.

Microsoft ha dichiarato che il gruppo di hacker ha condotto questi attacchi «password-spraying» contro 250 «tenant» di Office 365. Questi tenant comprendono tutte le risorse di un’organizzazione, come gli account utente, che sono ospitate su un servizio cloud di Microsoft.

Un post sul blog dedicato al gruppo di hacker iraniani DEV-0343 e alle sue attività.

Microsoft ha recentemente rivelato che un gruppo di hacker legato all’Iran ha attaccato le immagini satellitari e le compagnie di navigazione del Medio Oriente. Il gruppo, che Microsoft chiama DEV-0343, ha utilizzato attacchi di password cracking per compromettere gli account e-mail dei dipendenti e ottenere l’accesso a informazioni sensibili.

Gli attacchi di password cracking sono un tipo di attacco a forza bruta che consiste nel provare password comuni su un gran numero di indirizzi e-mail. Gli aggressori di solito evitano di attivare il blocco degli account distribuendo i tentativi nel tempo e su diversi indirizzi IP. Microsoft afferma che DEV-0343 utilizza questa tecnica almeno da luglio 2020 e ha preso di mira organizzazioni negli Stati Uniti, nel Regno Unito, in Germania, in India e negli Emirati Arabi Uniti.

Secondo Microsoft, l’obiettivo principale di DEV-0343 è quello di sostenere gli interessi del governo iraniano nella regione, soprattutto nel settore marittimo. Il gruppo è interessato a ottenere immagini satellitari commerciali e dati di navigazione proprietari che potrebbero aiutare l’Iran a monitorare i suoi avversari e a pianificare gli imprevisti. Microsoft fa notare che l’Iran ha un programma satellitare in via di sviluppo che deve affrontare sfide come le sanzioni statunitensi e i fallimenti dei lanci.

Microsoft avverte che DEV-0343 potrebbe continuare i suoi attacchi di password-spraying e consiglia ai clienti di adottare misure preventive, come l’attivazione dell’autenticazione a più fattori, l’utilizzo di password forti e uniche e il monitoraggio dei tentativi di accesso sospetti. Microsoft offre anche servizi di protezione dalle minacce che possono aiutare a rilevare e rispondere a tali attacchi.