Microsoft upozorava korisnike na Office 365 napade
Microsoft kaže da je 250 klijenata sistema Office 365 u američkom i izraelskom sektoru odbrambene tehnologije na meti napada.
Još jedan dobar razlog da uključite višefaktorsku autentifikaciju
U ovom, takozvanom „password-spraying“ napadu, napadači pokušavaju da pristupe mnogim nalozima sa uobičajenim lozinkama. Tehnika se oslanja na ljude koji koriste varijacije uobičajenih lozinki. Password-spraying napadi bili su usredsređeni na kritične infrastrukturne kompanije koje posluju u Persijskom zalivu, a izvela ih je grupa koju Microsoft prati kao DEV-0343 – najverovatnije nova grupa iz Irana. Oznaka ‘DEV’ označava da grupa nije potvrđena napadačka grupa koju sponzoriše država, ali bi na kraju to mogla postati.
Microsoft Threat Intelligence Center (MSTIC) saopštio je da je posmatrao DEV-0343 „kako vrši opsežan password-spraying napad, sa fokusom na američke i izraelske kompanije za odbrambenu tehnologiju, ulazne luke u Persijski zaliv ili globalne kompanije za pomorski transport, sa poslovnim prisustvom na Bliskom istoku “. Microsoft je rekao da je “manje od 20” ciljnih zakupaca uspešno kompromitovano. Rizik od kompromisa od password-spraying napada značajno je smanjen za organizacije koje uvode višefaktorsku autentifikaciju. Hakerska grupa je ciljala kompanije koje podržavaju američke, evropske i izraelske organizacije koje proizvode vojne radare, bespilotne letelice, satelitske sisteme i komunikacione sisteme za reagovanje u hitnim slučajevima, kao i geografske informacione sisteme (GIS), prostornu analitiku, luke u Persijskom zalivu i pomorske i teretne terete transportnih kompanija u regionu.
Microsoft je prošle nedelje podigao crvenu zastavu zbog hakovanja koje sponzoriše ruska država, označivši ruske obaveštajne hakere najaktivnijom sajber pretnjom na svetu. Ne samo da su hakeri koje podržava Kremlj plodniji, već su i sve efikasniji, navodi Microsoft. Takođe je označio značajan porast iranskih hakova protiv izraelskih organizacija. Poslednje Microsoftovo upozorenje američkim i izraelskim organizacijama koje djeluju na Bliskom istoku, kaže da bi trebali tražiti sumnjive Tor veze sa svojim mrežama. DEV-0343 sprovodi opsežne password-spraying napade, oponašajući Firefox browseri koristeći IP adrese hostovane na Tor proxi mreži.
Najaktivniji su između nedelje i četvrtka između 7:30 i 20:30 po iranskom vremenu (04:00:00 i 17:00:00 UTC) sa značajnim padom aktivnosti pre 7:30 ujutru i posle 8:30 popodne po iranskom vremenu. Obično ciljaju desetine do stotine naloga u organizaciji, u zavisnosti od veličine, i nabrajaju svaki nalog od desetina do hiljada puta. U proseku se u napadima na svaku organizaciju koristi između 150 i 1.000+ jedinstvenih Tor proxi IP adresa, upozorio je Microsoft u postu na blogu. DEV-0343 često cilja Exchange krajnje tačke, uključujući Autodiscover i ActiveSinc. To omogućava DEV-0343 da potvrdi aktivne naloge i lozinke i dodatno poboljša svoju aktivnost, rekao je Microsoft. Microsoftova primarna preporučena odbrana je omogućavanje višefaktorske autentifikacije, jer bi to trebalo da blokira daljinski pristup računima sa ugroženim akreditivima. Takođe preporučuje administratorima da provere i primene smernice pristupa na mreži Exchange Online i da blokiraju sav dolazni saobraćaj koji dolazi sa usluga poput mreže Tor.
Izvor: Zdnet
