חברת התוכנה מיקרוסופט הודיעה היום (שני) כי קבוצת האקרים חדשה המקושרת לאיראן תקפה יותר מ-250 חשבונות של Office 365 והצליחה לפרוץ למספר הנמוך מ-20 חשבונות. לדברי החברה ההתקפות של הקבוצה, שעדיין נמשכות, "מתמקדות בחברות טכנולוגיות הגנה אמריקאיות וישראליות, נמלי כניסה למפרץ הפרסי או חברות תעבורה ימיות עולמיות עם נוכחות עסקית במזרח התיכון".
החברה חשפה היום את התקיפה בהתראת אבטאמרחה, בה הסבירה כי התקיפה בוצעה באמצעות "ריסוס סיסמאות", טכניקה שבה האקרים מנסים את אותה הסיסמה שוב ושוב תוך שינוי שם המשתמש. ההתקפות בוצעו על ידי קבוצה חדשה שהחברה עוקבת אחריה כעת הנקראת DEV-0343, וציינה כי הקבוצה מקושרת לאיראן בגלל קווי דמיון בטכניקות ההתקפה, המיקוד במטרות ודפוסים אחרים.
צוותי האבטחה של מיקרוסופט אמרו כי התקפות ריסוס הסיסמאות מתבצעות בדרך כלל מכתובות IP של Tor, מחקות משתמש של דפדפן פיירפוקס ומתקיימות בשעות היום לפי שעון איראן.
כשההתקפות פוגעות, ההאקרים מונים תחילה חשבונות עובדים פעילים בתוך הארגון שנפגע ולאחר מכן עוברים לתהליך ריסוס הסיסמאות בפועל. כדי למנות חשבונות, האקרים עושים שימוש לרעה בשתי תכונות שרת דוא"ל של Exchange (גילוי אוטומטי ו- ActiveSync), אמרה מיקרוסופט.
"בממוצע, בין 150 ל-1,000+ כתובות IP ייחודיות של Tor משמשים בהתקפות נגד כל ארגון", הסבירה החברה. "אנו מעודדים את לקוחותינו להשתמש במידע זה כדי לחפש דפוסים דומים ביומנים ובפעילות רשת כדי לזהות אזורים להמשך חקירה", אמרה.