یکی از عوامل تهدید نوظهور که احتمالاً از جانب ایران حمایت می‌شود، در پس کمپین اسپریینگ رمز عبور برای هدف قرار دادن شرکت‌های فناوری دفاعی ایالات متحده، اتحادیه اروپا و اسرائیل بوده است و فعالیت‌های بیشتری در زمینه حمله به بنادر مناطق ورودی خلیج فارس و همچنین شرکت‌های حمل و نقل دریایی متمرکز در خاورمیانه داشته است.

مایکروسافت این تیم و گروه هک تحت نام DEV-0343 معرفی کرده است.

به نقل از هکر نیوز، اعتقاد بر این است این نفوذ‌ها، که برای اولین بار در اواخر جولای سال ۲۰۲۱ مشاهده شد، بیش از ۲۵۰ مجموعه کاربر Office 365 را هدف قرار داده بود که کمتر از ۲۰ مورد از آن‌ها در پی حمله اسپریینگ گذرواژه به شکل موفقیت‌آمیز به خطر افتاده بودند. این حمله نوعی حمله عظیم بود که در آن از رمز عبور یکسان به صورت چرخشی برای نام‌های کاربری مختلف جهت ورود به برنامه یا شبکه و در راستای تلاش برای جلوگیری از قفل شدن حساب‌های کاربری استفاده شده است.

تا کنون نشانه‌هایی مبنی بر این احتمال مشاهده شده است که این فعالیت بخشی از کمپین سرقت مالکیت معنوی است که هدف آن شرکای دولتی تولید رادار‌های گرید نظامی، فناوری هواپیما‌های بدون سرنشین، سیستم‌های ماهواره‌ای و سیستم‌های ارتباط اضطراری با هدف سرقت اطلاعات تصاویر تجاری ماهواره‌ای و اختصاصی است.

محققان مرکز اطلاعات تهدید مایکروسافت (MSTIC) و واحد امنیت دیجیتال (DSU) گفت: ارتباط DEV-0343 با ایران بر اساس شواهد تلاقی گسترده در زمینه هدفگیری جغرافیایی و جزئی با عاملان ایرانی و همچنین همسویی تکنیک‌ها و اهداف با عاملان دیگری که با ایران مرتبط هستند، استوار است.

پخش‌کننده‌های گذرواژه از مرورگر‌های Firefox و Google Chrome تقلید می‌کنند و به مجموعه‌ای از آدرس‌های پروکسی IP منحصر به فرد Tor تکیه می‌کنند. آن‌ها از آدرس‌هایی استفاده می‌کنند که مشخصاً برای مبهم‌سازی زیرساخت‌های عملیاتی آن‌ها استفاده می‌شود. مایکروسافت با اشاره به اینکه اوج حملات بین روز‌های یکشنبه و پنجشنبه از ساعت 7:30 صبح تا 8:30 بعد از ظهر به وقت ایران (4 صبح تا 5 بعد از ظهر UTC) صورت گرفته است، گفت که در این حملات ده‌ها تا صد‌ها حساب در یک نهاد بسته به اندازه آن مجموعه، مورد هدف قرار می‌گیرند.

این غول فناوری مستقر در ردموند همچنین به شباهت ابزار اسپریینگ رمز عبور با "o365spray" که یک ابزار متن باز فعال به روز شده هدف آن Microsoft Office 365 است، اشاره کرد. این مجموعه از مشتریان خود خواست تا احراز هویت چند عاملی را برای کاهش حجم اعتبارنامه‌های آسیب دیده، فعال کنند و هرگونه تبادلات ورودی از محل‌های خدمات ناشناس در هر کجا که امکان دارد را ممنوع نمایند.

محققان می‌گویند: "دسترسی به تصاویر ماهواره‌ای تجاری و برنامه‌های حمل و نقل اختصاصی و جزییات مربوطه می‌تواند به ایران در پیشبرد برنامه ماهواره‌ای در حال توسعه‌اش کمک کند. با توجه به حملات سایبری و نظامی ایران در گذشته علیه اهداف کشتیرانی و دریایی، مایکرؤسافت معتقد است که این فعالیت احتمال به خطر افتادن شرکت‌های این بخش‌ها را افزایش می‌دهد″.