Иранские хакеры атаковали муниципалитеты Израиля и ОАЭ с помощью "разбрызгивания паролей"

Кампания затронула более 300 организаций в Израиле и свыше 25 в ОАЭ, а также ограниченное число целей в Европе, США, Великобритании и Саудовской Аравии. Основной вектор атаки - техника "разбрызгивания паролей" (password spraying). В отличие от классического перебора, когда злоумышленник атакует одну учетную запись множеством паролей, здесь применяется множество слабых или стандартных паролей к большому числу аккаунтов одновременно. Это повышает шансы на успех, так как основано на предположении, что хотя бы у одного пользователя в системе окажутся ненадежные учетные данные.

Исследователи Check Point в своём отчёте подчеркивают, что выбор целей неслучаен. В первую очередь атакам подверглись муниципальные органы власти, которые играют критическую роль в ликвидации последствий физических повреждений, включая те, что вызваны ракетными ударами. Более того, наблюдается корреляция между атакованными городами и населенными пунктами, которые подвергались обстрелам со стороны Ирана в тот же период. Это позволяет с умеренной уверенностью предположить, что кибератаки были призваны поддержать кинетические (физические) военные операции и помочь в оценке нанесенного бомбовых ударами ущерба (BDA, Bombing Damage Assessment).

Технически кампания была выстроена в три четких этапа, что характерно для продвинутых групп угроз (APT). На первом этапе, "Сканирование", атакующие проводили интенсивное "распыление паролей" с использованием выходных узлов сети Tor, которые часто менялись для обхода блокировок. Для маскировки использовался устаревший User-Agent, имитирующий Internet Explorer 10. Когда находились валидные учетные данные, начинался этап "Проникновение". Злоумышленники завершали процесс входа, используя IP-адреса коммерческих VPN-сервисов, геолокация которых указывала на Израиль, что помогало обходить географические ограничения доступа. Финальная стадия, "Экфильтрация", заключалась в использовании украденных учетных данных для доступа к конфиденциальным данным, например, содержимому корпоративной электронной почты.

Подобные методы хорошо знакомы экспертам по информационной безопасности. Иранские группировки, известные как Peach Sandstorm и Gray Sandstorm, ранее неоднократно использовали "разбрызгивание паролей" для получения первоначального доступа к системам жертв. Анализ логов Microsoft 365 выявил сходства с инструментарием Gray Sandstorm, включая использование red-team инструментов через Tor. Кроме того, применялись VPN-узлы, размещенные в автономной системе AS35758, что также коррелирует с недавней активностью иранских хакеров в регионе.

Основной удар пришелся по муниципальному сектору Израиля, однако под прицелом также оказались организации энергетического, авиационного, морского и спутникового секторов. Это указывает на стратегический интерес атакующих к критической инфраструктуре и государственному управлению. Использование "разбрызгивания паролей" делает атаку менее заметной для систем защиты, основанных на анализе отдельных индикаторов, таких как блокировка IP-адреса после множества неудачных попыток к одному аккаунту. Здесь же множество попыток распределено по множеству аккаунтов с одного адреса.

Данный инцидент служит очередным напоминанием о важности базовых мер гигиены информационной безопасности в условиях гибридных конфликтов, где кибератаки становятся неотъемлемой частью военных кампаний. Эффективным противодействием подобным кампаниям являются повсеместное внедрение многофакторной аутентификации (MFA), мониторинг журналов входа на предмет аномальных паттернов, таких как множественные неудачи аутентификации для разных пользователей с одного источника, а также применение геоограничений и блокировка трафика с известных анонимизирующих сетей, включая Tor. Включение и длительное хранение журналов аудита остается критически важным для расследования инцидентов после возможной успешной компрометации.

IPv4

• 169.150.227.143
• 169.150.227.146
• 169.150.227.3
• 185.191.204.202
• 185.191.204.203