Vague d’attaques sur Microsoft 365 au Moyen-Orient : analyse des incidents de mars 2023

Au cours du mois de mars 2023, une série d’attaques informatiques sophistiquées a frappé les organisations du Moyen-Orient, ciblant principalement les environnements Microsoft 365. Ces cyberattaques, orchestrées avec une précision troublante, ont visé des centaines d’organisations, notamment en Israël et aux Émirats arabes unis. Retour sur cette campagne de piratage qui a mis à l’épreuve la résilience numérique de la région.

L’essentiel à retenir

• Plus de 300 organisations israéliennes et 20 aux Émirats arabes unis ont été ciblées par des attaques de type «password spraying».
• Les municipalités, touchées par les frappes de missiles, ont été les principales cibles, avec un lien possible aux Gardiens de la révolution islamique.
• Les attaques ont été exécutées en trois phases, utilisant Tor et des VPN pour échapper aux détections.

Stratégie d’attaque des hackers

Les cybercriminels ont mis en œuvre une technique connue sous le nom de «password spraying», une méthode qui consiste à essayer les mots de passe les plus courants sur plusieurs comptes simultanément afin d’éviter les verrouillages automatiques. Cette approche permet de contourner les systèmes de détection habituels, rendant les attaques plus difficiles à repérer.

Les attaques se sont déroulées en trois vagues distinctes, précisément espacées de dix jours, les 3, 13 et 23 mars. Le choix de ces dates, ainsi que les cibles visées, semblent avoir un lien direct avec les frappes de missiles iraniennes sur certaines villes, selon Check Point Research.

Objectifs des intrusions

Les municipalités ont été ciblées en priorité. En accédant aux systèmes de messagerie municipaux, les hackers auraient pu obtenir des informations cruciales pour évaluer les dégâts causés par les frappes, un processus désigné par l’expression « Bombing Damage Assessment ». Cela permettrait aux attaquants de mieux comprendre l’impact de leurs actions militaires.

Au-delà des municipalités, d’autres secteurs ont été touchés, bien que dans une moindre mesure. Parmi eux, on retrouve des entreprises de technologie, des acteurs des transports et de la logistique, ainsi que des organisations de santé et de l’industrie.

Techniques d’évasion et d’anonymisation

Les attaquants ont utilisé des nœuds de sortie Tor, modifiés en continu, et ont simulé l’agent utilisateur d’Internet Explorer 10 pour mener à bien leurs opérations. Une fois les identifiants valides obtenus, les connexions étaient redirigées via des adresses IP VPN localisées en Israël, utilisant des services tels que Windscribe ou NordVPN, pour contourner les restrictions géographiques de Microsoft 365.

Enquête et attribution des attaques

Check Point Research a identifié des similitudes avec les opérations menées par Gray Sandstorm, un groupe lié aux Gardiens de la révolution islamique. Cependant, l’attribution reste incertaine, avec une confiance qualifiée de « modérée ». Les outils et l’infrastructure utilisés pourraient être facilement empruntés ou imités par d’autres groupes, brouillant ainsi les pistes.

Des questions restent en suspens, notamment sur le nombre de comptes compromis, les types de données exfiltrées, et si des accès administrateurs ont été obtenus. Ces incertitudes soulignent la complexité de l’enquête et les défis posés par ces attaques sophistiquées.

Microsoft 365 et la cybersécurité dans le monde

Microsoft 365, largement adopté par les entreprises et organisations du monde entier, est régulièrement ciblé par des cyberattaques en raison de sa popularité et de la quantité de données sensibles qu’il héberge. Microsoft investit continuellement dans la sécurité de ses services, mais les cybercriminels ne cessent de développer de nouvelles techniques pour contourner ces mesures.

Parmi les concurrents de Microsoft, on trouve des géants comme Google, avec sa suite Google Workspace, et Amazon, qui propose des solutions cloud via Amazon Web Services. Ces plateformes sont également confrontées à des défis similaires en matière de sécurité. Les incidents de ce type mettent en lumière la nécessité d’une vigilance accrue et d’une amélioration continue des protocoles de cybersécurité pour protéger les données sensibles des attaques potentielles.