Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Password spraying to technika ataku polegająca na testowaniu niewielkiej liczby popularnych haseł wobec dużej liczby kont użytkowników. W przeciwieństwie do klasycznego brute force metoda ta ogranicza ryzyko zablokowania pojedynczego konta i może dłużej pozostawać niewidoczna dla podstawowych mechanizmów detekcji. Najnowsze analizy wskazują, że operatorzy powiązani z Iranem wykorzystali tę technikę przeciwko samorządom i innym organizacjom na Bliskim Wschodzie, prawdopodobnie w celu osłabienia zdolności reagowania na skutki ataków kinetycznych.
W skrócie
W marcu 2026 roku odnotowano kampanie ukierunkowane głównie na administrację lokalną w Izraelu oraz wybrane podmioty w Zjednoczonych Emiratach Arabskich. Celem były przede wszystkim środowiska Microsoft 365 i publicznie dostępne mechanizmy logowania. Badacze ocenili z umiarkowaną pewnością, że za aktywnością stoją aktorzy powiązani z Iranem. Ataki koncentrowały się na przejęciu poświadczeń z użyciem password spraying, sieci Tor oraz dodatkowych usług VPN wykorzystywanych na dalszych etapach infiltracji.
Kontekst / historia
Opisane działania wpisują się w szerszy wzorzec operacji cybernetycznych prowadzonych równolegle do napięć i działań militarnych w regionie. Szczególnie istotny jest dobór ofiar, ponieważ atakowano przede wszystkim jednostki samorządowe odpowiedzialne za koordynację działań kryzysowych, komunikację z mieszkańcami oraz obsługę usług publicznych. Taki profil celów sugeruje próbę wsparcia działań kinetycznych poprzez zakłócanie administracyjnej i operacyjnej zdolności reagowania.
Z analiz wynika również korelacja czasowa i geograficzna między wyborem ofiar a obszarami dotkniętymi uderzeniami rakietowymi. To wskazuje, że kampania mogła służyć nie tylko destabilizacji, ale także rozpoznaniu skutków ataków i ocenie sytuacji po stronie zaatakowanych podmiotów. Tego typu operacje są przykładem coraz częstszego łączenia cyberataków z działaniami militarnymi i informacyjnymi.
Analiza techniczna
Password spraying jest sklasyfikowany w MITRE ATT&CK jako T1110.003. Istota tej techniki polega na użyciu jednego lub kilku często spotykanych haseł wobec wielu kont użytkowników, zamiast wielokrotnego zgadywania hasła dla jednego konta. Dzięki temu napastnicy zmniejszają prawdopodobieństwo aktywowania polityk blokady kont i rozpraszają ślady w logach uwierzytelniania.
W analizowanej kampanii celem były przede wszystkim portale logowania do usług chmurowych i systemów tożsamości. Na etapie początkowych prób logowania obserwowano użycie sieci Tor, a po uzyskaniu dostępu również innych usług VPN. Taki model działania utrudnia korelację źródeł ruchu i osłabia skuteczność prostych blokad opartych wyłącznie na adresach IP lub geolokalizacji.
Z perspektywy obrony szczególnie istotne są wzorce telemetryczne typowe dla password spraying:
- wiele nieudanych prób logowania wobec różnych kont z tego samego adresu IP,
- powtarzanie identycznego hasła lub podobnego schematu uwierzytelnienia,
- rozłożenie prób w czasie w celu ominięcia progów alarmowych,
- koncentracja na usługach federacyjnych, SaaS i poczcie w chmurze,
- wzrost aktywności z sieci anonimizujących lub nietypowych lokalizacji.
Jeżeli organizacja nie wymusza MFA, nie monitoruje szczegółowo zdarzeń logowania i dopuszcza słabe hasła, nawet relatywnie prosty atak może doprowadzić do przejęcia kont, eskalacji uprawnień oraz uzyskania dostępu do poczty, dokumentów i kanałów koordynacji kryzysowej. W środowisku Microsoft 365 oznacza to również ryzyko przejęcia skrzynek pocztowych, dostępu do SharePoint, Teams i danych współdzielonych pomiędzy jednostkami administracji.
Konsekwencje / ryzyko
Ryzyko operacyjne takiej kampanii jest wysokie, szczególnie dla administracji lokalnej i organizacji odpowiedzialnych za ciągłość działania usług publicznych. Nawet częściowe przejęcie kont może prowadzić do zakłócenia komunikacji, utraty poufności informacji związanych z reagowaniem kryzysowym oraz podszywania się pod urzędników w celu dystrybucji fałszywych komunikatów.
W praktyce napastnicy mogą uzyskać dostęp do planów działań, danych mieszkańców, dokumentacji operacyjnej oraz kanałów współpracy z podmiotami partnerskimi. W kontekście konfliktu zbrojnego skutki wykraczają poza klasyczny incydent IT, ponieważ celem może być obniżenie zdolności reakcji po atakach rakietowych, opóźnienie decyzji administracyjnych, dezorganizacja procesów awaryjnych i zwiększenie presji psychologicznej na instytucje publiczne.
Rekomendacje
Organizacje publiczne i prywatne powinny traktować ochronę warstwy tożsamości jako priorytet. Kluczowe działania defensywne obejmują:
- bezwzględne wdrożenie MFA dla wszystkich kont, zwłaszcza administracyjnych i zdalnych,
- eliminację słabych i przewidywalnych haseł oraz stosowanie nowoczesnych polityk haseł,
- monitorowanie logów pod kątem rozproszonych prób uwierzytelnienia wobec wielu kont,
- ograniczanie logowań z sieci anonimizujących, takich jak Tor, jeśli nie są biznesowo uzasadnione,
- wdrożenie zasad dostępu warunkowego, geofencingu i ograniczeń logowania z wybranych lokalizacji,
- aktywację i retencję logów audytowych w usługach chmurowych,
- segmentację uprawnień oraz stosowanie zasady najmniejszych uprawnień,
- regularne przeglądy kont nieaktywnych, uprzywilejowanych i serwisowych,
- przygotowanie playbooków SOC do obsługi incydentów związanych z przejęciem poświadczeń.
W praktyce detekcja powinna obejmować reguły wyszukujące wiele nieudanych logowań dla licznych użytkowników z jednego źródła, korelację prób z nietypowymi ASN lub węzłami wyjściowymi Tor oraz analizę kampanii prowadzonych wolno, ale konsekwentnie. Po wykryciu incydentu konieczne jest szybkie unieważnianie sesji, reset poświadczeń, przegląd tokenów dostępowych oraz analiza śladów ewentualnego dostępu do poczty i repozytoriów danych.
Podsumowanie
Opisana kampania pokazuje, że pozornie nieskomplikowana technika, jaką jest password spraying, pozostaje skutecznym narzędziem w operacjach państwowych i hybrydowych. Połączenie ataków na warstwę tożsamości z równoległymi działaniami militarnymi zwiększa wpływ incydentu i podnosi znaczenie cyberodporności administracji publicznej. Dla zespołów bezpieczeństwa najważniejszy wniosek jest jednoznaczny: ochrona dostępu do usług tożsamościowych, wymuszenie MFA i zaawansowane monitorowanie logowań muszą być traktowane jako podstawowy element obrony przed współczesnymi kampaniami ukierunkowanymi.
Źródła
- Cybersecurity Dive – Iran-linked actors target Middle Eastern city governments to undermine missile-strike responses — https://www.cybersecuritydive.com/news/iran-cyberattack-missile-strikes-password-spraying/816333/
- MITRE ATT&CK – Brute Force: Password Spraying (T1110.003) — https://attack.mitre.org/techniques/T1110/003/
- Microsoft Learn – Password spray investigation — https://learn.microsoft.com/en-us/security/operations/incident-response-playbook-password-spray