Organisaties betrokken bij de verkiezingen in de Verenigde Staten en het Verenigd Koninkrijk zijn het doelwit van aanvallen waarbij aanvallers via brute force en password spraying toegang tot Office365-accounts proberen te krijgen, zo stelt Microsoft.
De aanvallen zijn het werk van een groep die door Microsoft "Strontium" wordt genoemd, maar ook bekend staat als Fancy Bear en APT28.
Deze groep heeft van 18 augustus tot 3 september meer dan 6900 accounts van 28 organisaties aangevallen. Geen van de aanvallen was succesvol, laat Microsoft weten.
In het verleden maakte Strontium gebruik van spearphishing aanvallen om gegevens van accounts te stelen. In april ontdekte Microsoft dat de groep ook password spraying en bruteforce-aanvallen inzet om toegang tot accounts te krijgen.
Consultants Democratische en Republikeinse partij
Verder onderzoek wees uit dat Strontium deze tactiek van september 2019 tot juni 2020 tegen tienduizenden accounts van meer dan tweehonderd organisaties had ingezet, gevolgd door de aanvallen in augustus en september. De aanvallen waren onder andere gericht tegen consultants die de Democratische en Republikeinse partij adviseren, denktanks en politieke partijen in het Verenigd Koninkrijk. Strontium opereert volgens Microsoft vanuit Rusland.
Password spraying
Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Meer info lees je hier.
Elke inlogpoging vanaf een ander ip-adres
In het geval van de password spraying-aanvallen die door Microsoft werden waargenomen ging het om vier inlogpogingen per uur, per aangevallen account, gedurende verschillende dagen of weken. Daarbij was elke inlogpoging vanaf een ander ip-adres afkomstig.
Bij de bruteforce-aanvallen probeerden de aanvallers over een periode van meerdere uren of dagen, meer dan driehonderd keer per uur op een account in te loggen. Meer info lees je hier.
1 op de 5 accounts
Gemiddeld was twintig procent van de accounts van een organisatie het doelwit van de aanvallen, legt Microsoft verder uit. Het techbedrijf denkt dat de aanvallers allerlei mogelijke account namen probeerden totdat ze een geldige naam vonden. Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie in te stellen en actief op mislukte inlogpogingen te monitoren.
Naast aanvallen vanuit Rusland meldt Microsoft dat het ook aanvallen vanuit China en Iran heeft gezien die op de verkiezingen zijn gericht.
Bron: microsoft.com, security.nl