Microsoft encontró piratas informáticos iraníes que apuntaban a empresas de defensa que nos ayudaban

Los investigadores de Microsoft han identificado un grupo de piratas informáticos vinculado a Irán, que tiene como objetivo las cuentas de Office 365 del personal que trabaja en empresas de tecnología de defensa que apoyan a los Estados Unidos, Israel y las naciones de la Unión Europea.

Apodado como DEV-0343, el grupo de piratas informáticos se encuentra utilizando técnicas de rociado de contraseñas para comprometer cuentas, con contraseñas únicas. Microsoft notó que menos de 20 empresas ya fueron víctimas y advirtió a las empresas objetivo con medidas de seguridad.

Índice de contenidos

    Hackers iraníes apuntan a la defensa de EE. UU.

    Los piratas informáticos respaldados por el estado, también conocidos como APT, se dirigen a instituciones sensibles de otros países con el fin de robar secretos para el desarrollo o atacarlos cuando sea necesario mediante el reconocimiento.

    Microsoft ha manchado uno similar recientemente y lo vinculó con el gobierno iraní, ya que las técnicas y los objetivos se alinean con los intereses iraníes. Este grupo de piratería fue apodado como DEV-0343 por Microsoft Threat Intelligence Center (MSTIC) y Microsoft Digital Security Unit (DSU), que lo están rastreando desde finales de julio de este año.

    Se descubrió que el grupo de piratería está apuntando a empresas de tecnología de defensa como fabricantes de radares de grado militar, tecnología de drones, sistemas de satélites y sistemas de comunicación de respuesta de emergencia, que ayudan a países como Estados Unidos, la Unión Europea y los gobiernos de Israel.

    El objetivo del grupo es acceder a las imágenes de satélite comerciales y los planes y registros de envío patentados, que pueden beneficiar el desarrollo del programa de satélites de Irán. Y para esto, se les detecta utilizando la técnica de propagación de contraseñas en las cuentas de Office 365 de las personas que trabajan en las empresas de defensa mencionadas anteriormente.

    Hasta la fecha, Microsoft encontró menos de 20 empresas víctimas de este grupo y ha notificado a otras con información sobre detección y prevención. Las medidas incluyen;

    • Amplio tráfico entrante desde direcciones IP de Tor para campañas de rociado de contraseñas
    • Emulación de navegadores Firefox (más común) o Chrome en campañas de rociado de contraseñas
    • Enumeración de Exchange ActiveSync (más común) o puntos finales de detección automática
    • Uso de una herramienta de pulverización de enumeración / contraseña similar a la 'o365spray' herramienta
    • Uso de detección automática para validar cuentas y contraseñas
    • La actividad de rociado de contraseñas observada comúnmente alcanza su punto máximo entre las 04:00:00 y las 11:00:00 UTC.

    Y para defenderse del DEV-0343,

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir