O mare botnet din 130 000 de dispozitive a început să spargă conturile Microsoft 365 prin dispersarea parolelor
Cercetătorii în securitate de la compania SecurityScorecard au acuzat hackerii chinezi de desfășurarea de atacuri coordonate în masă prin pulverizarea parolelor asupra conturilor Microsoft 365. De obicei, pulverizarea parolelor este blocată de sistemele de securitate, însă această campanie vizează autentificările neinteractive utilizate pentru autentificarea între servicii, care nu generează întotdeauna alerte de securitate.
Sursa imaginii: pexels.com
Ce este pulverizarea parolelor?
Pulverizarea parolelor este o metodă de hacking care implică utilizarea unei liste de parole frecvent utilizate pentru a desfășura un atac în masă asupra mai multor conturi. Aceste atacuri sunt adesea de succes, deoarece mulți utilizatori își protejează conturile cu parole simple, care sunt ușor de ghicit, precum „123456”, „password” sau „qwerty123”. Recordul mondial din 2024 pentru parole, șirul „123456”, a fost descoperit în mai mult de 3 milioane de conturi în cadrul unei cercetări efectuate de compania NordPass. Decriptarea unei astfel de parole necesită mai puțin de o secundă.
Acuzațiile SecurityScorecard
SecurityScorecard își bazează acuzațiile pe utilizarea de către atacatori a infrastructurii asociate cu CDS Global Cloud și UCLOUD HK — organizații care au legături operaționale cu China. „Aceste concluzii ale echipei noastre STRIKE Threat Intelligence confirmă că infractorii continuă să găsească și să utilizeze lacune în procesele de autentificare,” a declarat cercetătorul în securitate de la SecurityScorecard, David Mound. „Organizațiile nu își pot permite să presupună că MFA (autentificare multifactorială) este suficientă protecție în sine. Înțelegerea nuanțelor autentificărilor neinteractive este esențială pentru a remedia aceste lacune.”
Caracteristici ale campaniei
Deși pulverizarea parolelor este o tehnică bine cunoscută, această campanie se distinge prin amploarea sa, discreția și utilizarea zonelor critice orbe ale sistemelor de securitate. Spre deosebire de atacurile anterioare legate de Solt Typhoon (China) și APT33 (Iran), acest botnet utilizează autentificări neinteractive care sunt folosite pentru autentificarea între servicii și nu generează întotdeauna alerte de securitate. Aceasta permite infractorilor să acționeze fără a activa protecția MFA sau politicile de acces condiționat.