Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Обычный VPN и немного терпения. Пока города в Израиле горели,  их секреты уже утекали на чужие серверы

leer en español

Check Point Research Microsoft 365 Иран Password Spraying Gray Sandstorm кибератаки Ближний Восток
Обычный VPN и немного терпения. Пока города в Израиле горели,  их секреты уже утекали на чужие серверы
Check Point Research Microsoft 365 Иран Password Spraying Gray Sandstorm кибератаки Ближний Восток

Каждая цифровая брешь открывает путь вполне осязаемому огню.

image

В марте на фоне обострения ситуации на Ближнем Востоке кибератаки вышли за рамки привычных сценариев и начали тесно переплетаться с реальными событиями. Специалисты обнаружили серию попыток взлома облачных сервисов, которые, судя по характеру целей, могли дополнять военные действия и помогать в оценке последствий ударов.

Команда Check Point Research зафиксировала кампанию по подбору паролей против инфраструктуры Microsoft 365. Активность связали с группой, действующей в интересах Ирана. Атаки прошли тремя волнами — 3, 13 и 23 марта — и затронули более 300 организаций в Израиле и свыше 25 в ОАЭ. Отдельные эпизоды выявили в Европе, США, Великобритании и Саудовской Аравии.

Главной целью стали муниципалитеты. Такие структуры играют ключевую роль при ликвидации последствий ракетных ударов. Аналитики заметили совпадения между атакованными городами и территориями, подвергшимися обстрелам в тот же период. Такая связь указывает на возможное использование украденных данных для оценки разрушений и планирования дальнейших действий.

Злоумышленники применяли метод Password Spraying — массовую проверку распространённых паролей на большом числе учётных записей. В отличие от классического перебора, подход не атакует один аккаунт, а распределяет попытки по множеству пользователей, снижая риск блокировки. Для усложнения обнаружения использовались разные IP-адреса и узлы сети Tor.

После подбора корректных учётных данных атакующие переходили к следующему этапу. Вход в систему выполнялся уже через коммерческие VPN-сервисы с IP-адресами, привязанными к Израилю, что позволяло обходить географические ограничения. Далее злоумышленники получали доступ к конфиденциальной информации, включая электронную почту.

По совокупности признаков активность соотнесли с известными иранскими группами, в том числе Gray Sandstorm. В логах обнаружили схожие инструменты и тактики, включая использование Tor и инфраструктуры конкретного провайдера.

Специалисты советуют уделить внимание журналам входа, чтобы вовремя заметить массовые неудачные попытки авторизации. Дополнительно рекомендуют ограничить доступ по географии, блокировать анонимные сети и внедрять многофакторную аутентификацию для всех пользователей. Отдельный акцент делают на хранении логов — без них сложно понять масштаб инцидента и действия злоумышленников после входа в систему.