Microsoft ha individuato e disattivato un gruppo di attività precedentemente non documentato con sede in Libano che sta lavorando con altri attori affiliati al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS) per attaccare organizzazioni in Israele.
Il Microsoft Threat Intelligence Center (MSTIC) ha chiamato il gruppo “Polonium“.
Il gigante tecnologico ha sospeso più di 20 applicazioni OneDrive dannose create dagli attori di Polonium, ha notificato le organizzazioni colpite e ha distribuito una serie di aggiornamenti di intelligence sulla sicurezza che metteranno in quarantena gli strumenti sviluppati dagli operatori di Polonium.
“Il nostro obiettivo è quello di contribuire a scoraggiare le attività future esponendo e condividendo le tattiche di Polonium con la comunità in generale”, ha dichiarato l’azienda in un comunicato.
Il gruppo è collegato al governo iraniano e tale collaborazione o direzione da parte di Teheran sarebbe in linea con una serie di rivelazioni dalla fine del 2020, secondo cui il “governo iraniano sta utilizzando terze parti per effettuare operazioni informatiche per suo conto, probabilmente per migliorare la plausibile negabilità dell’Iran“.
Negli ultimi tre mesi, Polonium ha preso di mira o compromesso più di 20 organizzazioni con sede in Israele e un’organizzazione intergovernativa con sede in Libano.
“Questo attore ha utilizzato strumenti unici che abusano di servizi cloud legittimi per il comando e il controllo (C2) nella maggior parte delle sue vittime. È stato osservato che Polonium ha creato e utilizzato account OneDrive legittimi, utilizzandoli poi come C2 per eseguire parte delle operazioni di attacco“, ha spiegato Microsoft.
Questa attività non rappresenta alcun problema di sicurezza o vulnerabilità della piattaforma OneDrive.
“Come nel caso di qualsiasi attività osservata da parte di un attore nazionale, Microsoft informa direttamente i clienti che sono stati presi di mira o compromessi, fornendo loro le informazioni necessarie per proteggere i propri account“, ha dichiarato l’azienda.
Da febbraio, Polonium è stato osservato mentre prendeva di mira principalmente organizzazioni in Israele, con particolare attenzione alla produzione critica, all’IT e all’industria della difesa israeliana.
In almeno un caso, la compromissione di un’azienda informatica da parte di Polonium è stata utilizzata per colpire un’azienda aeronautica a valle e uno studio legale in un attacco alla catena di approvvigionamento che si è basato sulle credenziali dei fornitori di servizi per ottenere l’accesso alle reti prese di mira, secondo i ricercatori.
