Você já se perguntou como os hackers operam para atacar organizações de grande porte? O mês de março foi palco de uma série de ataques sofisticados visando contas do Microsoft 365 no Oriente Médio. Descubra os bastidores desta operação cibernética que abalou Israel e os Emirados Árabes Unidos.
As 3 informações que você não pode perder
- Mais de 300 organizações israelenses e cerca de vinte nos Emirados Árabes Unidos foram alvo de hackers em março.
- Os ataques coincidiram com ataques de mísseis iranianos, visando principalmente as municipalidades.
- Os hackers usaram uma técnica de “password spraying” para acessar as contas do Microsoft 365.
Os ataques no Oriente Médio: uma estratégia bem elaborada
Em março, mais de 300 organizações em Israel e cerca de vinte nos Emirados Árabes Unidos foram alvo de uma campanha de hacking. Os ataques visaram principalmente as municipalidades, sugerindo uma ligação com os ataques de mísseis iranianos no mesmo período. Os hackers usaram um método de “password spraying”, uma técnica que consiste em testar simultaneamente centenas de contas com senhas comuns para evitar o bloqueio automático.
As etapas do ataque às contas do Microsoft 365
O plano dos hackers ocorria em três fases distintas. Primeiro, um escaneamento massivo era realizado a partir de nós de saída Tor, usando um agente de usuário que se passava por Internet Explorer 10. Uma vez encontrados identificadores válidos, as conexões eram feitas através de endereços IP de VPN geolocalizados em Israel, com serviços como Windscribe ou NordVPN, permitindo contornar as restrições geográficas do Microsoft 365. Finalmente, os hackers acessavam as caixas de e-mail e os dados que elas continham.
Os alvos e as motivações por trás dos ataques
Check Point Research notou uma correlação entre as cidades visadas pelos ataques e aquelas atingidas por ataques de mísseis iranianos em março. As municipalidades, frequentemente na linha de frente para coordenar os socorros e avaliar os danos após um bombardeio, representavam alvos preferenciais. O acesso aos seus sistemas de mensagens permitiria aos hackers avaliar a eficácia dos ataques, uma técnica chamada “Bombing Damage Assessment”. Outros setores, como empresas de tecnologia, transportes e logística, assim como saúde e indústria, também foram afetados, embora em menor escala.
Gray Sandstorm e as suspeitas em torno dos autores dos ataques
Uma pista leva ao Gray Sandstorm, um grupo ligado aos Guardiões da Revolução Islâmica. No entanto, a Check Point qualifica essa atribuição como de “confiança moderada”, deixando a porta aberta para a implicação de outros atores. As ferramentas e infraestruturas usadas no ataque, como Tor e VPNs, são acessíveis a diversos grupos, tornando difícil uma atribuição definitiva.
Proteção das empresas de tecnologia contra o “password spraying”
Enquanto os ataques de “password spraying” continuam a representar desafios para as empresas, torna-se essencial reforçar as medidas de segurança. A adoção da autenticação multifatorial e a implementação de políticas de senhas robustas são tendências a serem observadas para combater essas ameaças persistentes. A conscientização dos funcionários sobre a importância da segurança digital também pode desempenhar um papel crucial na proteção dos dados sensíveis.