Ti sei mai chiesto come operano gli hacker per prendere di mira organizzazioni di grande portata? Il mese di marzo è stato teatro di una serie di attacchi sofisticati che hanno preso di mira account Microsoft 365 in Medio Oriente. Scopri i retroscena di questa operazione informatica che ha scosso Israele e gli Emirati Arabi Uniti.
Le 3 informazioni da non perdere
- Oltre 300 organizzazioni israeliane e una ventina negli Emirati Arabi Uniti sono state prese di mira dagli hacker a marzo.
- Gli attacchi hanno coinciso con attacchi missilistici iraniani, mirando principalmente ai comuni.
- Gli hacker hanno utilizzato una tecnica di “password spraying” per accedere agli account Microsoft 365.
Gli attacchi in Medio Oriente: una strategia ben collaudata
A marzo, oltre 300 organizzazioni in Israele e una ventina negli Emirati Arabi Uniti sono state prese di mira da una campagna di hacking. Gli attacchi hanno preso di mira principalmente i comuni, suggerendo un legame con gli attacchi missilistici iraniani dello stesso periodo. Gli hacker hanno utilizzato un metodo di “password spraying”, una tecnica che consiste nel testare simultaneamente centinaia di account con password comuni per evitare il blocco automatico.
Le fasi dell’attacco agli account Microsoft 365
Il piano degli hacker si svolgeva in tre fasi distinte. Innanzitutto, veniva effettuata una scansione massiccia da nodi di uscita Tor, utilizzando un agente utente che si spacciava per Internet Explorer 10. Una volta trovati gli identificativi validi, le connessioni avvenivano tramite indirizzi IP VPN geolocalizzati in Israele, con servizi come Windscribe o NordVPN, permettendo di aggirare le restrizioni geografiche di Microsoft 365. Infine, gli hacker accedevano alle caselle di posta e ai dati in esse contenuti.
Gli obiettivi e le motivazioni dietro gli attacchi
Check Point Research ha notato una correlazione tra le città prese di mira dagli attacchi e quelle colpite da attacchi missilistici iraniani a marzo. I comuni, spesso in prima linea per coordinare i soccorsi e valutare i danni dopo un bombardamento, rappresentavano obiettivi di scelta. L’accesso ai loro sistemi di messaggistica permetterebbe agli hacker di valutare l’efficacia degli attacchi, una tecnica chiamata “Bombing Damage Assessment”. Altri settori, come le aziende tecnologiche, i trasporti e la logistica, nonché la sanità e l’industria, sono stati anch’essi colpiti, sebbene in misura minore.
Gray Sandstorm e i sospetti sugli autori degli attacchi
Una pista porta a Gray Sandstorm, un gruppo legato ai Guardiani della rivoluzione islamica. Tuttavia, Check Point qualifica questa attribuzione come “fiducia moderata”, lasciando la porta aperta all’implicazione di altri attori. Gli strumenti e le infrastrutture utilizzati nell’attacco, come Tor e le VPN, sono accessibili a vari gruppi, rendendo difficile un’attribuzione definitiva.
Protezione delle aziende tecnologiche contro il “password spraying”
Mentre gli attacchi di “password spraying” continuano a rappresentare sfide per le aziende, diventa essenziale rafforzare le misure di sicurezza. L’adozione dell’autenticazione multi-fattore e l’implementazione di politiche di password solide sono tendenze da monitorare per contrastare queste minacce persistenti. La sensibilizzazione dei dipendenti sull’importanza della sicurezza digitale può anche svolgere un ruolo cruciale nella protezione dei dati sensibili.