Haben Sie sich jemals gefragt, wie Hacker vorgehen, um groß angelegte Organisationen ins Visier zu nehmen? Der Monat März war Schauplatz einer Reihe von ausgeklügelten Angriffen auf Microsoft 365-Konten im Nahen Osten. Entdecken Sie die Hintergründe dieser Cyber-Operation, die Israel und die Vereinigten Arabischen Emirate erschütterte.
Die 3 wichtigsten Informationen
- Mehr als 300 israelische Organisationen und etwa zwanzig in den Vereinigten Arabischen Emiraten wurden im März von Hackern angegriffen.
- Die Angriffe fielen mit iranischen Raketenangriffen zusammen, die hauptsächlich auf Gemeinden abzielten.
- Die Hacker verwendeten eine „Password Spraying“-Technik, um auf Microsoft 365-Konten zuzugreifen.
Die Angriffe im Nahen Osten: eine gut durchdachte Strategie
Im März wurden mehr als 300 Organisationen in Israel und etwa zwanzig in den Vereinigten Arabischen Emiraten von einer Hacking-Kampagne ins Visier genommen. Die Angriffe richteten sich hauptsächlich gegen Gemeinden, was auf einen Zusammenhang mit den iranischen Raketenangriffen in derselben Zeit hindeutet. Die Hacker verwendeten eine „Password Spraying“-Methode, eine Technik, bei der gleichzeitig Hunderte von Konten mit gängigen Passwörtern getestet werden, um eine automatische Sperrung zu vermeiden.
Die Phasen des Angriffs auf Microsoft 365-Konten
Der Plan der Hacker verlief in drei unterschiedlichen Phasen. Zuerst wurde ein massiver Scan von Tor-Ausgangsknoten aus durchgeführt, wobei ein Benutzeragent verwendet wurde, der sich als Internet Explorer 10 ausgab. Sobald gültige Anmeldedaten gefunden wurden, erfolgten die Verbindungen über VPN-IP-Adressen, die in Israel geolokalisiert waren, mit Diensten wie Windscribe oder NordVPN, um die geografischen Beschränkungen von Microsoft 365 zu umgehen. Schließlich erhielten die Hacker Zugriff auf die Mailboxen und die darin enthaltenen Daten.
Die Ziele und die Motivationen hinter den Angriffen
Check Point Research bemerkte eine Korrelation zwischen den von den Angriffen betroffenen Städten und denen, die im März von iranischen Raketenangriffen getroffen wurden. Die Gemeinden, die oft an vorderster Front stehen, um Hilfe zu koordinieren und Schäden nach einem Bombenangriff zu bewerten, stellten attraktive Ziele dar. Der Zugriff auf ihre Nachrichtensysteme würde es den Hackern ermöglichen, die Effektivität der Angriffe zu bewerten, eine Technik, die als „Bombing Damage Assessment“ bezeichnet wird. Andere Sektoren wie Technologieunternehmen, Transport und Logistik sowie Gesundheit und Industrie wurden ebenfalls getroffen, wenn auch in geringerem Maße.
Gray Sandstorm und die Verdächtigungen um die Urheber der Angriffe
Eine Spur führt zu Gray Sandstorm, einer Gruppe, die mit den Islamischen Revolutionsgarden in Verbindung steht. Check Point bezeichnet diese Zuordnung jedoch als „mäßiges Vertrauen“ und lässt die Möglichkeit offen, dass andere Akteure beteiligt sind. Die in den Angriffen verwendeten Werkzeuge und Infrastrukturen, wie Tor und VPNs, sind für verschiedene Gruppen zugänglich, was eine endgültige Zuordnung erschwert.
Schutz von Technologieunternehmen vor „Password Spraying“
Da „Password Spraying“-Angriffe weiterhin Herausforderungen für Unternehmen darstellen, wird es entscheidend, die Sicherheitsmaßnahmen zu verstärken. Die Einführung von Multi-Faktor-Authentifizierung und die Implementierung solider Passwort-Richtlinien sind Trends, die beobachtet werden sollten, um diesen anhaltenden Bedrohungen entgegenzuwirken. Die Sensibilisierung der Mitarbeiter für die Bedeutung der digitalen Sicherheit kann ebenfalls eine entscheidende Rolle beim Schutz sensibler Daten spielen.