Badacze Microsoft twierdzą, że odkrył i wyłączył infrastrukturę OneDrive cyberprzestępcom atakującym organizacje w Izraelu. Badania wykonano w oparciu o wiktymologię oraz nakładanie się narzędzi i technik.
Nie wiadomo, dlaczego analitycy nazwali grupę znajomo brzmiącym określeniem Polonium. Wiadomo za to, że jest to nowy podmiot na arenie cyber-zmagań i wydaje się współpracować z przeciwnikami powiązanymi z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Według Microsoftu taka współpraca nie jest zaskakująca, biorąc pod uwagę fakt, że rząd Iranu od około dwóch lat zatrudnia osoby trzecie do prowadzenia cyberoperacji.
W ciągu ostatnich trzech miesięcy zaobserwowano, że Polonium przeprowadza ataki na ponad 20 organizacji z siedzibą w Izraelu, a także na jedną organizację międzyrządową działającą w Libanie.
Sektory docelowe obejmują produkcję krytyczną, bazę przemysłu obronnego, żywność i rolnictwo, systemy finansowe, agencje rządowe, opiekę zdrowotną i zdrowie publiczne, IT, systemy transportowe i inne.
W jednym przypadku Polonium skompromitował dostawcę usług w chmurze i wykorzystał go w ataku w łańcuchu dostaw na firmę lotniczą i kancelarię prawną. Co więcej, wiele z docelowych krytycznych firm produkcyjnych współpracuje z izraelskim przemysłem obronnym, mówi Microsoft.
Cyberprzestępcy tworzą i wykorzystują konta OneDrive do dowodzenia i kontroli (C&C) w swoich atakach. Polonium wdraża niestandardowe implanty, które wykorzystują usługi w chmurze, takie jak OneDrive i Dropbox.
Microsoft wyjaśnia również, że cyberprzestępca nie przechowywał złośliwego oprogramowania na zidentyfikowanych kontach OneDrive i że zaobserwowane implanty wchodziłyby w interakcję z usługą w taki sam sposób, jak legalne aplikacje.
Jeden z zaobserwowanych implantów, nazwany CreepyDrive, obsługuje przesyłanie i pobieranie plików, ale nie posiada mechanizmu trwałości. Jednak jego logika jest „zawinięta w prawdziwą pętlę, zapewniającą ciągłe wykonywanie implantu”, mówi Microsoft.
Implant nie zawiera również identyfikatora ofiary, co sugeruje, że podmiot atakujący może użyć innego konta OneDrive jako C&C dla każdej ofiary.
Zaobserwowano również, użycie niestandardowego implantu PowerShell o nazwie CreepySnail, a także popularnego narzędzia SSH, które obsługuje interaktywne logowanie.
Microsoft twierdzi, że chociaż nie zidentyfikował jeszcze początkowego wektora infekcji wykorzystywanego przez Polonium, większość zidentyfikowanych ofiar korzystała z urządzeń Fortinet, co sugeruje, że podmiot atakujący zagrożenie mógł wykorzystać lukę CVE-2018-13379 do włamania.
Natomiast potencjalną współpracę z irańskimi cyberprzestępcami sugeruje dobór ofiar (w tym atakowanie ofiar MuddyWater) –sugeruje, że MOIS mógł zapewnić Polonium dostęp do zaatakowanych sieci – korzystanie z OneDrive jako C&C (podobny do Lyceum) oraz wykorzystanie AirVPN do działalności operacyjnej (również wykorzystywanego przez CopyKittens).
Samo zagrożenie przypisywane jest Libańskiemu aktorowi. I nie jest to oczywiście pierwszy przypadek ataków z tego kierunku. Przeszło rok ClearSky ujawnia, że hackerzy, których uważa się za powiązanych z rządem libańskim, skompromitowali setki serwerów należących do organizacji na całym świecie.
Grupa APT nazywała się Libańskim cedrem lub Lotnym cedrem, działa od 2012 r., z przerwą od 2015 r. po tym, jak jej działalność została szczegółowo opisana przez firmy zajmujące się cyberbezpieczeństwem.
Wróciła na początku 2020 r., kiedy analizy ujawniły użycie zaktualizowanej wersji Explosive RAT i powłoki internetowej Caterpillar, a artefakty zidentyfikowane w sieci ofiar pomogły badaczom zidentyfikować 250 naruszonych serwerów.
ClearSky wykrył zaatakowane firmy w Stanach Zjednoczonych, Wielkiej Brytanii, Egipcie, Izraelu, Jordanii, Libanie, Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich i innych krajach.
Ataki były silnie ukierunkowane i uważa się, że były motywowane interesami politycznymi i ideologicznymi, wskazywano na powiązania grupy z Cyber Unitem Hezbollahu.
Wybrany post: Polonium atakuje cele w Izraelu
