Die iranische Hackergruppierung Peach Sandstorm, auch als APT33 bekannt, wird von Microsoft-Forschern für eine Serie von Password-Spray-Angriffen zwischen Februar und Juli 2023 verantwortlich gemacht. Die Angriffe zielten auf Tausende von globalen Organisationen ab, insbesondere aus den Bereichen Satellitentechnik, Verteidigung und Pharmazie.
Bei Password-Spray-Angriffen versuchen Hacker mit einer Liste von Benutzernamen und Standardpasswörtern auf Anwendungen zuzugreifen. Die Peach-Sandstorm-Gruppe nutzte diese Methode, um Informationen zu sammeln, die iranischen Staatsinteressen dienen könnten.
Besonders besorgniserregend ist, dass die Gruppe legitime Anmeldeinformationen, in diesem Fall den Benutzernamen, für ihre Aktivitäten verwendete und eine breite Palette von Tools einsetzte, um auf Daten zuzugreifen und die Aufrechterhaltung des Zugriffs zu ermöglichen, also Persistenz zu erlangen.
Darüber hinaus fiel auf, dass die Gruppierung ihre Angriffe während der iranischen Standard-Arbeitszeit durchführte und TOR-IPs sowie einen speziellen User-Agent nutzte. Die Gruppe versuchte auch Sicherheitslücken in Anwendungen wie etwa Zoho ManageEngine und Atlassian Confluence auszunutzen, um auf die Umgebungen ihrer Ziele zuzugreifen. Insgesamt stellt die Analyse von Microsoft die raffinierten und gezielten Aktivitäten von Peach Sandstorm in den Fokus, die eine Gefährdung für Organisationen weltweit darstellen.
Die Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg (LfV) empfiehlt grundsätzlich insbesondere Administratoren, Systemprotokolle auf fehlgeschlagene Login-Versuche zu überwachen. Nach eigener Analyse mittels öffentlicher Recherchen könnten derzeit potenziell über 1.000 Endgeräte von den im Bericht genannten Sicherheitslücken betroffen sein.