Microsoft: Iranische Hacker haben „mit Passwörtern übersäte“ Office 365-Konten gefunden

Microsoft hat kürzlich aufgedeckt, dass eine Gruppe iranischer Hacker Office 365-Konten verschiedener Organisationen und Einzelpersonen mit einer Technik namens „Password Spraying“ angegriffen hat. Beim Passwort-Spraying handelt es sich um eine Art Brute-Force-Angriff, bei dem gängige Passwörter mit mehreren Benutzernamen ausprobiert werden, in der Hoffnung, eine Übereinstimmung zu finden. 

Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen viele Passwörter gegen einen Benutzernamen ausprobiert werden, ist es beim Passwort-Spraying weniger wahrscheinlich, dass es zu Kontosperrungen oder Sicherheitswarnungen kommt.

Laut Microsoft führen iranische Hacker mit dem Spitznamen Phosphorus seit September 2020 Passwort-Spraying-Kampagnen durch, die auf Konten von Regierungsbehörden, Denkfabriken, Journalisten, Aktivisten, Akademikern und anderen prominenten Persönlichkeiten abzielen.

 Hacker haben auch andere Methoden eingesetzt, um Konten zu kompromittieren, etwa Phishing-E-Mails, Diebstahl von Anmeldedaten und Malware. Microsoft schätzt, dass Phosphorus im vergangenen Jahr versucht hat, auf die Konten von etwa 25.000 Menschen in 76 Ländern zuzugreifen.

Microsoft hat betroffene Kunden gewarnt und Hinweise zum Schutz ihrer Konten gegeben. Das Unternehmen empfahl außerdem einige Best Practices zur Verhinderung von Passwort-Sharing-Angriffen, wie z. B. die Aktivierung der Multi-Faktor-Authentifizierung (MFA), die Verwendung sicherer und eindeutiger Passwörter und die Überwachung der Anmeldeaktivität. Microsoft hat Kunden außerdem aufgefordert, verdächtige oder böswillige Aktivitäten seinem Sicherheitsteam zu melden.

Das Versprühen von Passwörtern ist keine neue Bedrohung, wird aber immer häufiger und raffinierter, da Hacker die zunehmende Nutzung von Cloud-Diensten und Remote-Arbeit aufgrund der COVID-19-Pandemie ausnutzen. Organisationen und Einzelpersonen sollten sich der Risiken bewusst sein und proaktive Maßnahmen ergreifen, um ihre Online-Konten und Daten zu schützen.

Microsoft hat eine Warnung vor einer Gruppe von Hackern herausgegeben, die möglicherweise mit dem Iran in Verbindung stehen und versucht haben, durch Erraten von Passwörtern Office 365-Konten zu kompromittieren.

Hacker haben Verteidigungsunternehmen aus den USA, der EU und Israel ins Visier genommen, die an „Militärradaren, Drohnentechnologie, Satellitensystemen und Notfallkommunikationssystemen“ arbeiten, sagte das Unternehmen am Montag in einem Blogbeitrag.

Microsoft sagte, die Hackergruppe habe diese „Password-Spraying“-Angriffe gegen 250 Office 365-„Mandanten“ durchgeführt. Diese Mandanten umfassen alle Ressourcen einer Organisation, wie z. B. Benutzerkonten, die auf einem Dienst in der Microsoft-Cloud gehostet werden.

Ein Blogbeitrag über die iranische Hackergruppe DEV-0343 und ihre Aktivitäten.

Microsoft hat kürzlich bekannt gegeben, dass eine mit dem Iran verbundene Hackergruppe Satellitenbilder und Seeschifffahrtsunternehmen im Nahen Osten angegriffen hat. Die Gruppe, die Microsoft DEV-0343 nennt, nutzt Passwort-Spraying-Angriffe, um die E-Mail-Konten von Mitarbeitern zu kompromittieren und Zugriff auf vertrauliche Informationen zu erhalten.

Passwort-Spraying-Angriffe sind eine Art Brute-Force-Angriff, bei dem gängige Passwörter für eine große Anzahl von E-Mail-Adressen ausprobiert werden. Angreifer vermeiden es normalerweise, Kontosperrungen auszulösen, indem sie die Versuche über einen längeren Zeitraum und über verschiedene IP-Adressen verteilen. Laut Microsoft nutzt DEV-0343 diese Technik seit mindestens Juli 2020 und zielt auf Organisationen in den USA, Großbritannien, Deutschland, Indien und den Vereinigten Arabischen Emiraten ab.

Laut Microsoft besteht das Hauptziel von DEV-0343 darin, die Interessen der iranischen Regierung in der Region, insbesondere im maritimen Bereich, zu unterstützen. Die Gruppe war daran interessiert, kommerzielle Satellitenbilder und proprietäre Schiffsdaten zu erhalten, die dem Iran dabei helfen könnten, seine Gegner zu überwachen und für Notfälle zu planen. Microsoft stellt fest, dass der Iran über ein sich entwickelndes Satellitenprogramm verfügt, das mit Herausforderungen wie US-Sanktionen und Startfehlern konfrontiert ist.

Microsoft warnt davor, dass DEV-0343 seine Passwort-Spraying-Angriffe wahrscheinlich fortsetzen wird, und rät seinen Kunden, vorbeugende Maßnahmen zu ergreifen, wie z. B. die Aktivierung der Multi-Faktor-Authentifizierung, die Verwendung starker und eindeutiger Passwörter und die Überwachung auf verdächtige Anmeldeversuche. Microsoft bietet auch Bedrohungsschutzdienste an, die dabei helfen können, solche Angriffe zu erkennen und darauf zu reagieren.