Microsoft prévient que des pirates informatiques potentiellement liés à l’Iran ont tenté de s’introduire dans de nombreux comptes Office 365 par le biais d’attaques de mot de passe.
Les pirates ont ciblé des sociétés de défense américaines, européennes et israéliennes qui produisent « des radars de qualité militaire, une technologie de drones, des systèmes satellitaires et des systèmes de communication d’intervention d’urgence », a écrit la société dans un communiqué. article de blog le lundi.
Selon Microsoft, le groupe de piratage a utilisé ces attaques de « pulvérisation de mots de passe » sur 250 « locataires » d’Office 365. Ces locataires englobent les ressources d’une organisation entière, y compris les comptes d’utilisateurs des employés, sous un service cloud Microsoft.
« Moins de 20 des locataires ciblés ont été compromis avec succès », a ajouté Microsoft.
La société a surnommé le groupe de piratage DEV-0343. Parmi les autres cibles, citons les ports d’entrée du golfe Persique et les sociétés mondiales de transport maritime au Moyen-Orient.
« Microsoft estime que ce ciblage soutient le suivi par le gouvernement iranien des services de sécurité adverses et du transport maritime au Moyen-Orient afin d’améliorer leurs plans d’urgence », a déclaré la société. « Accéder à l’imagerie satellitaire commerciale et aux plans et journaux d’expédition exclusifs pourrait aider l’Iran à compenser le développement de son programme de satellites. »
En conséquence, l’entreprise exhorte ses clients à être sur leurs gardes. Les attaques par pulvérisation de mots de passe fonctionnent en apprenant l’adresse e-mail d’un utilisateur, puis en essayant de nombreux mots de passe sur plusieurs heures ou jours pour tenter de s’introduire.
Dans le cas de DEV-0343, le groupe a émulé un navigateur Firefox sur des adresses IP hébergées sur Tor réseau, qui est conçu pour aider à anonymiser les origines de l’attaquant.
« Ils ciblent généralement des dizaines à des centaines de comptes au sein d’une organisation, selon la taille, et énumèrent chaque compte des dizaines à des milliers de fois », explique Microsoft. « En moyenne, entre 150 et plus de 1 000 adresses IP proxy Tor uniques sont utilisées dans les attaques contre chaque organisation. »
Pour arrêter les attaques, Microsoft encourage ses clients à activer l’authentification multifacteur sur leurs comptes. Cela nécessite que toute personne se connectant saisisse à la fois le mot de passe correct et fournisse un autre mode d’authentification, généralement un code d’accès à usage unique généré sur le smartphone du propriétaire du compte.