Posté le octobre 13, 2021 à 20:48

MICROSOFT PUBLIE UN RAPPORT SUR LES HACKERS IRANIENS QUI CIBLENT LES COMPTES OFFICE 365

Ces derniers temps, les organismes gouvernementaux ont été les principales cibles des hackers parrainés par des États. Un rapport récent de Microsoft indique que des hackers iraniens pourraient utiliser une technique de devinette de mot de passe pour attaquer les agences militaires et de défense.

Selon Microsoft, ces attaquants visent les comptes Office 365, leurs principales cibles étant les entreprises de défense basées aux États-Unis, dans l’UE et en Israël. Dans un billet de blog, Microsoft a déclaré que les agences visées étaient celles qui développaient « des radars de qualité militaire, des technologies de drones, des systèmes satellitaires et des systèmes de communication d’intervention d’urgence. »

Utilisation de techniques d’attaque par « pulvérisation de mots de passe »

Microsoft a également noté que le groupe de hackers à l’origine de ces attaques déployait une technique de « pulvérisation de mots de passe ». Les hackers avaient déjà déployé ces attaques sur 250 comptes Office 365. La cible de ces hackers comprend les ressources de l’agence, dont les comptes utilisateurs des employés stockés dans le service cloud de Microsoft.

Microsoft a également noté que 20 des comptes Office 365 ciblés avaient déjà été compromis par ces techniques.

Selon Microsoft, les hackers à l’origine de ces attaques sont connus sous le nom de DEV-0343. Le groupe serait en mission d’espionnage, étant donné qu’il a également ciblé des ports du golfe Persique et des entreprises maritimes mondiales au Moyen-Orient.

« Microsoft estime que ce ciblage soutient le gouvernement iranien dans le suivi des services de sécurité adverses et de la navigation maritime au Moyen-Orient afin d’améliorer leurs plans d’urgence », peut-on lire sur le blog. « Obtenir l’accès à l’imagerie satellitaire commerciale et aux plans et journaux d’expédition exclusifs pourrait aider l’Iran à compenser le développement de son programme satellitaire. »

Microsoft a également indiqué que les entreprises des secteurs maritime et naval devaient mettre en œuvre rapidement les mesures nécessaires pour se protéger de ces hackers, étant donné que le risque est élevé. Selon Microsoft, l’Iran est connu pour ses actions cybernétiques et militaires contre les compagnies maritimes et de navigation.

À la suite de cette menace, Microsoft a demandé aux utilisateurs d’Office 365 de rester vigilants et d’être à l’affût afin d’éviter que des tiers indésirables puissent accéder à leurs comptes. Les hackers lancent l’attaque par pulvérisation de mots de passe en découvrant les adresses électroniques des utilisateurs, puis en essayant différentes variations du mot de passe jusqu’à ce que le bon soit identifié. Pour découvrir les mots de passe, les hackers peuvent essayer plusieurs mots de passe pendant plusieurs heures ou plusieurs jours afin de s’introduire dans les systèmes. 

Microsoft a également déclaré que le groupe de hackers DEV-0343 se déguisait en navigateur Firefox. En outre, il utilisait des adresses IP hébergées dans le réseau Tor. Cela permettait aux hackers de rester anonymes et de cacher l’origine de ces attaques.

Le billet de blog indique également que les hackers ont ciblé un large éventail de comptes au sein de l’organisation. Le nombre de comptes ciblés au sein de l’organisation dépendait de leur taille, et les hackers ont ensuite classé ces comptes par catégorie. « En moyenne, entre 150 et 1000+ adresses IP uniques de proxy Tor sont utilisées dans les attaques contre chaque organisation », a déclaré Microsoft.

L’article de blog indique en outre que les attaquants ont utilisé un mode opératoire furtif pour dissimuler leurs opérations. Ce mode de dissimulation a empêché Microsoft de détecter et de partager un ensemble statique d’indicateurs de compromission (IOC) liés à l’activité de piratage. Néanmoins, Microsoft a publié une liste qui détaille l’ensemble du comportement de ces auteurs de la menace et les tactiques que les chercheurs ont observées.

« Nous encourageons nos clients à utiliser ces informations pour rechercher des schémas similaires dans les journaux et l’activité du réseau afin d’identifier les domaines nécessitant une enquête plus approfondie », a ajouté Microsoft.

Microsoft fournit des recommandations pour protéger les utilisateurs

Le billet de blog fournit en outre une liste de recommandations que les utilisateurs d’Office 365 pourraient utiliser pour se protéger de ces techniques de pulvérisation de mots de passe. L’une des recommandations que Microsoft a données aux utilisateurs comprend l’utilisation d’un processus d’authentification multifactorielle sur les comptes.

Un processus de vérification MFA exigera que les parties se connectant à ces comptes disposent d’un mode d’authentification secondaire. Cette authentification est généralement envoyée sous la forme d’un code d’accès à usage unique généré à partir du téléphone du propriétaire.

Microsoft exhorte également tous ses clients à installer et à utiliser des plateformes telles que Microsoft Authenticator qui ne nécessitent pas de mots de passe. Cette fonctionnalité est un moyen avancé de sécuriser les comptes d’utilisateur car elle garantit qu’ils ne sont pas compromis même si un hacker a accès aux mots de passe du compte.

« Le changement d’adresse IP pour chaque tentative de mot de passe devient une technique de plus en plus courante parmi les groupes de hackers sophistiqués. Souvent, ces derniers rendent aléatoire l’agent utilisateur qu’ils utilisent ainsi que l’adresse IP. Cette technique a été rendue possible par l’émergence de services fournissant un grand nombre d’adresses IP résidentielles », a déclaré Microsoft.