Kampania password-spraying powiązana z Iranem atakuje ponad 300 izraelskich organizacji Microsoft 365

Współczesne konflikty geopolityczne coraz częściej przenoszą się z fizycznych pól bitew do sfery cyfrowej, gdzie granica między działaniami militarnymi a operacjami wywiadowczymi ulega całkowitemu zatarciu. Najnowszy raport opublikowany przez ekspertów z Check Point rzuca światło na zakrojoną na szeroką skalę kampanię cybernetyczną, za którą stoi podmiot powiązany z Iranem (tzw. Iran-nexus threat actor). Celem ataku stało się ponad 300 organizacji w Izraelu oraz Zjednoczonych Emiratach Arabskich, korzystających ze środowisk Microsoft 365. To nie jest przypadkowy incydent, lecz precyzyjnie zaplanowana operacja wykorzystująca technikę password-spraying, która uderza w fundamenty komunikacji korporacyjnej i rządowej w regionie Bliskiego Wschodu.

Skala tej operacji jest imponująca i pokazuje, jak determinacja polityczna przekłada się na zasoby cyfrowe. Według danych analitycznych, atak nie był jednorazowym zrywem, lecz systematycznym procesem realizowanym w trzech precyzyjnych falach uderzeniowych. Miały one miejsce odpowiednio 3 marca, 13 marca oraz 23 marca 2026 roku. Taka cykliczność sugeruje, że napastnicy dysponują nie tylko zaawansowaną infrastrukturą, ale również cierpliwością niezbędną do monitorowania reakcji systemów obronnych i dostosowywania kolejnych kroków w celu maksymalizacji skuteczności włamań do chmurowych ekosystemów Microsoftu.

Mechanika ataku i wykorzystanie słabości Microsoft 365

Technika password-spraying, którą posłużyli się agresorzy, różni się od klasycznego ataku typu brute-force tym, że zamiast próbować tysięcy haseł na jednym koncie (co szybko prowadzi do blokady), napastnicy testują jedno, popularne hasło na tysiącach różnych kont. Pozwala to na ominięcie standardowych mechanizmów wykrywania anomalii i blokad kont. W przypadku środowisk Microsoft 365, które są standardem w komunikacji biznesowej, sukces nawet na ułamku procenta kont daje napastnikom dostęp do poczty elektronicznej, dokumentów w chmurze oraz wewnętrznych kanałów komunikacji, co w kontekście trwającego konfliktu na Bliskim Wschodzie ma wartość wywiadowczą nie do przecenienia.

Z perspektywy technologicznej, kampania ta uwypukla problem zabezpieczania tożsamości w rozproszonych systemach SaaS. Napastnicy celują w organizacje, które mimo korzystania z nowoczesnych narzędzi, wciąż borykają się z higieną haseł lub nie wdrożyły w pełni rygorystycznych polityk uwierzytelniania wieloskładnikowego (MFA). Check Point wskazuje, że aktywność ta jest oceniana jako trwająca, co oznacza, że infrastruktura wykorzystywana do ataków jest stale modyfikowana, by unikać wykrycia przez globalne systemy bezpieczeństwa Microsoftu.

Rola sztucznej inteligencji w skracaniu czasu reakcji

W kontekście tych wydarzeń niezwykle istotne są wnioski płynące z raportu Zscaler ThreatLabz 2026 VPN Risk Report, przygotowanego we współpracy z Cybersecurity Insiders. Dokument ten stawia odważną tezę: sztuczna inteligencja zlikwidowała okno czasowe na reakcję człowieka (AI collapsed human response window). W dobie zautomatyzowanych kampanii, takich jak te wymierzone w izraelskie firmy, tradycyjne metody monitorowania i manualnego blokowania podejrzanych logowań stają się anachronizmem. AI pozwala napastnikom na generowanie bardziej przekonujących scenariuszy i szybsze rotowanie adresami IP, co sprawia, że atak jest niemal niemożliwy do zatrzymania bez równie zaawansowanych systemów obronnych opartych na uczeniu maszynowym.

Raport Zscaler podkreśla również, że zdalny dostęp stał się najszybszą ścieżką do naruszenia bezpieczeństwa (remote access into fastest path to breach). W świecie, gdzie praca hybrydowa i dostęp do zasobów chmurowych z dowolnego miejsca na ziemi są normą, luki w protokołach VPN oraz słabości w zabezpieczeniach Microsoft 365 stają się "autostradą" dla grup takich jak te powiązane z Iranem. Skoro napastnik może uzyskać dostęp do konta pracownika za pomocą prostego, ale masowego ataku na hasła, cała architektura bezpieczeństwa sieciowego zostaje ominięta już na starcie.

Anatomia zagrożenia i specyfikacja celów

Analiza Check Point pozwala zidentyfikować kluczowe cechy tej kampanii, które odróżniają ją od pospolitej cyberprzestępczości. Przede wszystkim uderza precyzja w doborze celów – ponad 300 organizacji w Izraelu i ZEA to podmioty o strategicznym znaczeniu, często powiązane z infrastrukturą krytyczną, sektorem finansowym lub administracją publiczną. Główne aspekty kampanii obejmują:

• Skoncentrowane uderzenia: Wykorzystanie trzech konkretnych dat w marcu 2026 roku sugeruje koordynację z wydarzeniami politycznymi lub militarnymi w regionie.
• Geolokalizacja: Skupienie się na Izraelu i Zjednoczonych Emiratach Arabskich odzwierciedla aktualne osie napięć na Bliskim Wschodzie.
• Eksploatacja Microsoft 365: Wykorzystanie dominującej pozycji rynkowej pakietu Office do prowadzenia działań szpiegowskich.
• Wyrafinowany Password-Spraying: Użycie technik minimalizujących ryzyko wykrycia przez systemy ochrony tożsamości.

"Kampania jest przede wszystkim motywowana celami strategicznymi, gdzie dostęp do danych wewnątrz Microsoft 365 służy jako potężne narzędzie w trwającym konflikcie regionalnym."

Takie podejście pokazuje, że grupy APT (Advanced Persistent Threat) z regionu Iranu coraz sprawniej operują w chmurze. Nie szukają już tylko dziur w oprogramowaniu (0-day), ale eksploatują najsłabsze ogniwo każdego systemu – człowieka i jego skłonność do używania przewidywalnych haseł w połączeniu z brakiem włączonego MFA.

Nowy paradygmat obrony w erze AI

W obliczu tak zorganizowanych ataków, tradycyjne podejście do cyberbezpieczeństwa oparte na reakcji musi ustąpić miejsca modelom Zero Trust. Skoro, jak wskazuje Zscaler, AI drastycznie skróciło czas reakcji, systemy obronne muszą działać autonomicznie. Każda próba logowania, nawet z poprawne hasłem, powinna być weryfikowana pod kątem kontekstu: lokalizacji, urządzenia, pory dnia oraz nietypowych wzorców zachowań, które systemy Check Point i Zscaler identyfikują jako anomalie.

Dla globalnych organizacji płynie z tego jasny komunikat: bezpieczeństwo chmury Microsoft 365 nie jest stanem danym raz na zawsze, lecz procesem wymagającym ciągłej czujności. Kampania wymierzona w Izrael i ZEA to poligon doświadczalny dla nowych metod walki cyfrowej, które wkrótce mogą zostać zaadoptowane przeciwko celom w innych częściach świata. Skuteczność techniki password-spraying w 2026 roku jest bolesnym przypomnieniem, że podstawowe błędy w konfiguracji tożsamości cyfrowej pozostają najgroźniejszą bronią w rękach państwowych aktorów zagrożeń.

Cyberwojna na Bliskim Wschodzie wkracza w fazę, w której dane wywiadowcze pozyskane z chmury stają się równie istotne, co ruchy wojsk na granicy. Skala ataku na 300 organizacji to wyraźny sygnał, że napastnicy czują się pewnie w infrastrukturze zachodnich gigantów technologicznych. Branża musi przygotować się na rzeczywistość, w której tożsamość użytkownika jest permanentnie atakowana przez algorytmy zdolne do łamania zabezpieczeń w tempie, którego ludzki operator nie jest w stanie nawet monitorować, nie mówiąc o skutecznej interwencji.