Producent Windows nie podaje jednak kto stał się właściwym celem ataku. Poinformowali, że Phosphorus ma powiązania z Iranem. W ciągu trzydziestu dni między sierpniem a wrześniem 2019 roku haktywiści dokonali dwóch tysięcy operacji w celu wykrycia adresów elektronicznych klientów Microsoft. Skutkiem tego wytypowali oraz zaatakowali dwieście czterdzieści jeden z nich. Celem ataku byli prominenci związani z rządem Stanów Zjednoczonych, aktywni oraz byli pracownicy administracji, osoby związane z kampanią prezydencką w Stanach Zjednoczonych. Celem stali się również dziennikarze zajmujący się polityką międzynarodową oraz wpływowi Irańczycy.

Metodą jaką posłużyli się włamywacze było między innymi użycie innego konta pocztowego do zresetowania w usługach Microsoft. Tym samym po odkryciu na jaki adres e-mail jest wysyłane hasło w przypadku zapomnienie hasła i jego ponownego ustawiania korzystali z drugiego konta do pozyskania wejścia do pierwszego.
“Pomimo braku technicznego zaawansowania wymagały one znaczącej liczby danych osobowych” zauważył Burt. Wskazuje to na wysoką motywację sprawców. Wskazuje to na duże wsparcie Phosphorus od strony dostępnego czasu oraz zasobów dla zebrania danych potrzebnych do włamania. Należący do Microsoft Digital Crime Unit podjęło akcje na rzecz zablokowania haktywistów.

Zarazem Microsoft wskazał, że wykorzystanie dwustopniowej autoryzacji zwiększa bezpieczeństwo usług. Firma zachęca do sprawdzania z jakich urządzeń były nawiązywane połączenia i zgłaszanie. Dalszą formą zapobiegania zagrożeniom jest włączanie rządów, grup interesu oraz firm do programy Paryskiego Pokoju Nawołującego do Zaufania i Bezpieczeństwa w Cyberprzestrzeni ogłoszonego we Francji w 2018 w ramach Internet Governance Forum.

W ramach Microsoft AccountGuard firma objęła szczególną ochroną sześćdziesiąt tysięcy kont z dwudziestu sześciu krajów. W ramach tego między innymi śledziła działalność w ramach korzystającego z chmury Office 365. Na chwilę obecną Microsoft wskazuje, że miał osiemset zgłoszeń odnośnie ataków na chronione konta.

Działania Iranu pozwoliły im na uzyskanie między innymi dostępu do numerów telefonów. Zdaniem Microsoft jedną z osób powiązaną z całą sprawą jest oficer kontrwywiadu Monica Witt poszukiwana za domniemane szpiegostwo przez Federalne Biur Śledcze. Irakijczycy nie zasypiają gruszek w popiele, bo wcześniej już podjęli akcje wymierzone między innymi w infrastrukturę Google oraz Yahoo, ale przeszkodą nie do przejścia okazała się autoryzacja dwuetapowa (jej przykładem jest podawanie obok hasła kodu z SMS jaki przychodzi na telefon komórkowy).

Znani pod kodem APT 35 członkowie grupy haktywistów Phosphorus przejęli też wcześniej dziewięćdziesiąt dziewięć stron. Podszywali się między innymi pod usługi Outlook oraz Yahoo dla przekserowania ruchu sieciowego w kierunku kontrolowanych przez nich witryn. Obok powiązanych z GRU haktywistów Strontium, znanych jako APT 28, lub Fancy Bear stanowią obiekt zainteresowania firmy.

Wedle analityków bezpieczeństwa z Certfa Iran stosowali metody wyłudzania danych. Tworzyli strony na których atakowani wpisywali swoje dane, a następnie byli oni przekierowani na właściwe strony. Metoda na wędkę (po angielsku phishing) używali witryny udającej stronę logowania do Dysku Google (nawiasem mówiąc fałszywa strona została stworzona w oprogramowaniu Google Site3). W tych działaniach szczególnie upodobały się grupa Charming Kitten, jak podaje ClearSky również wspierana przez rząd Iranu. Z kolei wspomniany wyżej Phosphorus działa od przynajmniej 2013 roku.


Jacek Skrzypacz