Поделиться
Иранские хакеры успешно взломали военные организации США из-за бездарных паролей
Кибершпионская группировка APT33 использовала технику распыления паролей для проникновения в инфраструктуры множества организаций в США и набор общедоступных утилит и уже известных методов атак для компрометации облачных ресурсов этих организаций.
У них много имён
Иранским хакерам удалось взломать тысячи значимых организаций в США и как минимум ещё одной страны, используя простую, но эффективную методику - password spraying («распыление паролей»). Об этом сообщили эксперты по информационной безопасности корпорации Microsoft.
У некоторых таких организаций, в основном из оборонного, фармацевтического сектор и из сферы спутниковой связи, иранские кибершпионы также увели существенный объём конфиденциальной информации.
Кибершпионская группировка, стоявшая за атаками, известна как APT33, Peach Sandstorm, HOLMIUM и Refined Kitten. Это старая группа, действующая как минимум с 2013 года. Её основными целями являются организации оборонной, исследовательской, машиностроительной и финансовой сфер в США, Саудовской Аравии и Южной Корее.
Как указывается в публикации Microsoft Threat Intelligence Team (подразделения Microsoft по разведке киберугроз), между февралём и июлем APT33 произвела обширную серию атак распыления паролей, пытаясь получить доступ к инфраструктурам тысяч организаций.
«На протяжении всего 2023 года Peach Sandstorm демонстрировала стабильно высокий интерес к организациям, действующим в таких областях как спутниковая связь, оборонные технологии и, в меньшей степени, фармацевтика», - заявил изданию Bleeping Computer Директор по стратегии Microsoft Threat Intelligence Team Шеррод ДеГриппо (Sherod DeGrippo).
Распылением паролей называется скоординированная попытка получить доступ ко множеству аккаунтов, используя один и тот же пароль. В этом ключевое различие такой тактики с брутфорсом, где злоумышленники пытаются получить доступ к определённым аккаунтам, вводя один за одним пароли из длинного списка.
«Как правило, «распыление» срабатывает со слабыми паролями (такими как 123456, qwerty и т.п.), - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - То, что атаки были успешными, причём массово, не говорит ничего хорошего об отношении администраторов затронутых организаций к безопасности своих сетей и облачных ресурсов, - а именно они и стали основным объектом атак».
Действительно, операторы атак были весьма успешны.
Широкий арсенал
После первоначального проникновения хакеры использовали опенсорсные фреймворки AzureHound и Roadtools для проведения разведки окружения Azure Active Directory (Azure AD) - службы идентификации корпоративного уровня. В описании Microsoft утверждается, что Azure AD позволяет нейтрализовать 99,9% кибератак.
Видимо, иранцы смогли как следует воспользоваться оставшимися 0,01%.
Помимо разведки упомянутые инструменты использовались для сбора данных с облачных сред атакованных организаций.
Злоумышленники также использовали ранее скомпрометированные реквизиты доступа к Azure, создавали новые подписки для существующих клиентов, а также пользовались Azure Arc для обеспечения постоянства доступа и контроля локальных локальных устройств внутри сетей пострадавших организаций.
Как отмечается в публикации Microsoft, операторы APT33 использовали метод атак под названием Golden SAML для подделки авторизационных запросов и получения доступа к облачным приложениям организаций, которые используют доменные контроллеры, совместимые со стандартом SAML.
Golden SAML иранцы использовали для скрытного перемещения по сети. В процессе они устанавливали AnyDesk для обеспечения безопасности, осуществляли побочную загрузку вредоносных DLL для запуска вредоносов, а также применяли инструмент EagleRelay для создания защищённых туннелей, через которые шёл обмен трафиком с командной инфраструктурой.
Короткая ссылка
