Un rapporto pubblicato da Microsoft afferma che il settore della difesa statunitense è preso di mira dall’Iran. Secondo Microsoft, le maggiori minacce digitali ai governi sono rappresentate da attori statali di Russia, Corea del Nord, Iran e Cina.
Cosa afferma un rapporto di Microsoft sul settore della difesa USA?
Il settore della difesa statunitense è preso di mira dall’Iran. Questo è quanto afferma Microsoft nel suo rapporto annuale sulla difesa digitale. Il rapporto rivela anche che le maggiori minacce digitali ai governi sono rappresentate da attori statali di Russia, Corea del Nord, Cina e Iran. Nel report di legge che l’ultimo cluster di attività dannose individuato da Microsoft è sopranominato DEV-0343. Secondo Microsoft, DEV-0343 sembra prendere di mira le società di difesa statunitensi e israeliane. Ma anche le società di trasporto marittimo globale con una presenza in Medio Oriente e i porti di ingresso del Golfo Persico.
Perché l’azienda collega queste attività all’Iran?
Microsoft, nel collegare queste attività all’Iran, afferma: “Questa attività probabilmente supporta gli interessi nazionali della Repubblica islamica dell’Iran sulla base dell’analisi del modello di vita, dell’ampio crossover nel targeting geografico e settoriale con attori iraniani e dell’allineamento di tecniche e obiettivi con un altro attore originario dell’Iran. Microsoft valuta che questo obiettivo supporti il monitoraggio del governo iraniano dei servizi di sicurezza avversari e della navigazione marittima in Medio Oriente per migliorare i propri piani di emergenza”.
“Ottenere l’accesso a immagini satellitari commerciali e piani e registri di spedizione proprietari potrebbe aiutare l’Iran a compensare il suo programma satellitare in via di sviluppo. Dati i passati attacchi informatici e militari dell’Iran contro obiettivi marittimi e marittimi, Microsoft ritiene che questa attività aumenti il rischio per le aziende in questi settori e incoraggiamo i nostri clienti in questi settori e regioni geografiche a rivedere le informazioni condivise in questo blog per difendersi da questa minaccia”.
Le raccomandazioni di Microsoft
Microsoft ha evidenziato che DEV-0343 ha continuato ad evolversi e utilizza gli indirizzi IP Tor per nascondere la sua infrastruttura operativa. L’azienda ha suggerito alle organizzazioni di tenere d’occhio l’ampio traffico in entrata proveniente da IP Tor che emulano i browser Firefox o Chrome tra le 04:00:00 e le 11:00:00 UTC; l’enumerazione degli endpoint Exchange ActiveSync o Autodiscover; l’uso del quest’ultimo per convalidare account e password e l’utilizzo di strumenti di spray per password come o365spray, che è ospitato su GitHub. Microsoft ha raccomandato ai clienti di utilizzare anche MFA e soluzioni senza password come Microsoft Authenticator. Inoltre ha consigliato di rivedere i criteri di accesso di Exchange Online e bloccare il traffico dai servizi di anonimizzazione ove possibile. L’azienda ha anche elencato alcune query di caccia per Microsoft365 Defender e Azure Sentinel che i clienti possono utilizzare per rilevare attività dannose.
Leggi anche: Hacker russi, cinesi e iraniani prendono di mira le elezioni USA 2020