Vous êtes-vous déjà demandé comment les hackers opèrent pour cibler des organisations de grande envergure ? Le mois de mars a été le théâtre d’une série d’attaques sophistiquées visant des comptes Microsoft 365 au Moyen-Orient. Découvrez les dessous de cette cyber-opération qui a secoué Israël et les Émirats arabes unis.
Les 3 infos à ne pas manquer
- Plus de 300 organisations israéliennes et une vingtaine aux Émirats arabes unis ont été ciblées par des hackers en mars.
- Les attaques ont coïncidé avec des frappes de missiles iraniennes, visant principalement les municipalités.
- Les hackers ont utilisé une technique de « password spraying » pour accéder aux comptes Microsoft 365.
Les attaques au Moyen-Orient : une stratégie bien rodée
En mars, plus de 300 organisations en Israël et une vingtaine aux Émirats arabes unis ont été visées par une campagne de hacking. Les attaques ont principalement ciblé les municipalités, suggérant un lien avec les frappes de missiles iraniennes de la même période. Les hackers ont utilisé une méthode de « password spraying », une technique qui consiste à tester simultanément des centaines de comptes avec des mots de passe communs pour éviter le blocage automatique.
Les étapes de l’attaque sur les comptes Microsoft 365
Le plan des hackers se déroulait en trois phases distinctes. D’abord, un scan massif était effectué depuis des nœuds de sortie Tor, utilisant un agent utilisateur se faisant passer pour Internet Explorer 10. Une fois des identifiants valides trouvés, les connexions se faisaient via des adresses IP VPN géolocalisées en Israël, avec des services comme Windscribe ou NordVPN, permettant de contourner les restrictions géographiques de Microsoft 365. Finalement, les hackers accédaient aux boîtes mail et aux données qu’elles contenaient.
Les cibles et les motivations derrière les attaques
Check Point Research a remarqué une corrélation entre les villes visées par les attaques et celles touchées par des frappes de missiles iraniens en mars. Les municipalités, souvent en première ligne pour coordonner les secours et évaluer les dégâts après un bombardement, représentaient des cibles de choix. L’accès à leurs systèmes de messagerie permettrait aux hackers d’évaluer l’efficacité des frappes, une technique appelée « Bombing Damage Assessment ». D’autres secteurs, comme les entreprises technologiques, les transports et la logistique, ainsi que la santé et l’industrie, ont également été touchés, bien que dans une moindre mesure.
Gray Sandstorm et les soupçons autour des auteurs des attaques
Une piste mène à Gray Sandstorm, un groupe lié aux Gardiens de la révolution islamique. Cependant, Check Point qualifie cette attribution de « confiance modérée », laissant la porte ouverte à l’implication d’autres acteurs. Les outils et infrastructures utilisés dans l’attaque, comme Tor et les VPN, sont accessibles à divers groupes, rendant difficile une attribution définitive.
Protection des entreprises technologiques contre le « password spraying »
Alors que les attaques de « password spraying » continuent de poser des défis aux entreprises, il devient essentiel de renforcer les mesures de sécurité. L’adoption de l’authentification multi-facteurs et la mise en place de politiques de mots de passe solides sont des tendances à surveiller pour contrer ces menaces persistantes. La sensibilisation des employés à l’importance de la sécurité numérique peut également jouer un rôle crucial dans la protection des données sensibles.