Pesquisadores correlacionam alvos digitais com cidades atingidas por mísseis iranianos em março e concluem que a operação cibernética serviu a esforços de avaliação de danos cinéticos.
A Check Point Research (CPR) relatou uma campanha coordenada de password spraying direcionada a ambientes Microsoft 365, realizada por um ator de ameaça associado ao Irã.
Os ataques aconteceram em três ondas distintas, nos dias 3, 13 e 23 de março de 2026, afetando mais de 300 organizações em Israel e pelo menos 25 nos Emirados Árabes Unidos. O mesmo grupo também foi monitorado em alvos específicos na Europa, Estados Unidos, Reino Unido e Arábia Saudita.
Da ciberespionagem ao campo de batalha
A análise da Check Point destacou que o setor municipal israelense foi o alvo principal, monitorando tanto o número de organizações afetadas quanto o volume de tentativas individuais por organização.
Os dados coletados mostram uma correlação notável entre as cidades visadas nas operações cibernéticas e aquelas que sofreram ataques com mísseis iranianos em março. Os municípios têm um papel crucial na documentação e resposta aos danos causados por esses ataques.
As conclusões sugerem que a operação serviu para apoiar os esforços de avaliação de danos, uma etapa crucial para que um agressor possa entender o impacto de suas ações e planejar futuras intervenções militares.
Totalizando, o Irã pode ter explorado o acesso a e-mails de prefeituras para avalizar o estrago causado por seus próprios mísseis. Os ataques também se estenderam a órgãos governamentais, empresas do setor energético, organizações ligadas à aviação, satélites e ao setor marítimo, além de companhias do setor privado.
Funcionamento do ataque
O password spraying é uma forma de ataque que utiliza um conjunto reduzido de senhas fracas testadas em um grande número de contas, ao invés de atacar várias senhas em uma única conta, o que facilita a detecção. O método é estatístico: em um ambiente com centenas de usuários, ninguém escapa de senhas comuns como “Senha123”.
A Check Point detalhou que o ciclo do ataque foi dividido em três fases. Na primeira, os atacantes realizaram tentativas de autenticação a partir de nós da rede Tor que eram frequentemente rotacionados para dificultar seu rastreamento.
As solicitações foram disfarçadas usando um User-Agent que imita versões antigas do Internet Explorer, com a intenção de confundir sistemas de monitoramento de tráfego.
Ao descobrirem credenciais válidas, os atacantes conseguiram realizar logins usando endereços IP localizados em VPNs comerciais, especificamente de serviços como Windscribe e NordVPN, para evitar bloqueios de acesso geográficos.
Essa estratégia visa contornar políticas condicionais de acesso que muitas organizações têm para prevenir logins de regiões inesperadas. Quando conseguiram acesso, os invasores exploraram as credenciais para visualizar e-mails e coletar informações sensíveis.
Atribuição ao ator iraniano
A Check Point Research atribui essa campanha com um nível moderado de confiança a um ator de origem iraniana. Essa avaliação se baseia na identificação consistente dos alvos com os interesses estratégicos do Irã e em semelhanças operacionais com o grupo Gray Sandstorm, que é conhecido por empregar ferramentas de red team e a rede Tor para acessos iniciais.
O uso de infraestrutura comercial hospedada também está alinhado com atividades recentes relacionadas a operações iranianas na região.
Como se proteger
Para as organizações que utilizam o Microsoft 365, a CPR recomenda que monitorem logs de autenticação para detectar comportamentos típicos de password spraying, incluindo múltiplas falhas de login em contas diferentes que se originam do mesmo IP em um curto espaço de tempo.
Além disso, implementar boas práticas de segurança, como atualizações regulares de senhas e restrições geográficas baseadas em políticas de acesso condicional, pode diminuir a superfície de ataque. Embora ataques sofisticados possam contornar algumas medidas, como mostrado por essa campanha, a adoção de autenticação multifator (MFA) é uma recomendação chave para fortalecer a segurança, especialmente para contas privilegiadas.
Registrar logs de auditoria e assegurá-los com uma retenção adequada é crucial para investigar quaisquer incidentes após o fato. Acompanhe o TecMania nas redes sociais para mais informações e atualizações sobre segurança e tecnologia.