Polonium atakuje cele w Izraelu
Badacze Microsoft twierdzą, że odkrył i wyłączył infrastrukturę OneDrive cyberprzestępcom atakującym organizacje w Izraelu. Badania wykonano w oparciu o wiktymologię oraz nakładanie się narzędzi i technik.
Nie wiadomo, dlaczego analitycy nazwali grupę znajomo brzmiącym określeniem Polonium. Wiadomo za to, że jest to nowy podmiot na arenie cyber-zmagań i wydaje się współpracować z przeciwnikami powiązanymi z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Według Microsoftu taka współpraca nie jest zaskakująca, biorąc pod uwagę fakt, że rząd Iranu od około dwóch lat zatrudnia osoby trzecie do prowadzenia cyberoperacji.
W ciągu ostatnich trzech miesięcy zaobserwowano, że Polonium przeprowadza ataki na ponad 20 organizacji z siedzibą w Izraelu, a także na jedną organizację międzyrządową działającą w Libanie.
Sektory docelowe obejmują produkcję krytyczną, bazę przemysłu obronnego, żywność i rolnictwo, systemy finansowe, agencje rządowe, opiekę zdrowotną i zdrowie publiczne, IT, systemy transportowe i inne.
W jednym przypadku Polonium skompromitował dostawcę usług w chmurze i wykorzystał go w ataku w łańcuchu dostaw na firmę lotniczą i kancelarię prawną. Co więcej, wiele z docelowych krytycznych firm produkcyjnych współpracuje z izraelskim przemysłem obronnym, mówi Microsoft.
Cyberprzestępcy tworzą i wykorzystują konta OneDrive do dowodzenia i kontroli (C&C) w swoich atakach. Polonium wdraża niestandardowe implanty, które wykorzystują usługi w chmurze, takie jak OneDrive i Dropbox.
Microsoft wyjaśnia również, że cyberprzestępca nie przechowywał złośliwego oprogramowania na zidentyfikowanych kontach OneDrive i że zaobserwowane implanty wchodziłyby w interakcję z usługą w taki sam sposób, jak legalne aplikacje.
Jeden z zaobserwowanych implantów, nazwany CreepyDrive, obsługuje przesyłanie i pobieranie plików, ale nie posiada mechanizmu trwałości. Jednak jego logika jest „zawinięta w prawdziwą pętlę, zapewniającą ciągłe wykonywanie implantu”, mówi Microsoft.
Implant nie zawiera również identyfikatora ofiary, co sugeruje, że podmiot atakujący może użyć innego konta OneDrive jako C&C dla każdej ofiary.
Zaobserwowano również, użycie niestandardowego implantu PowerShell o nazwie CreepySnail, a także popularnego narzędzia SSH, które obsługuje interaktywne logowanie.
Microsoft twierdzi, że chociaż nie zidentyfikował jeszcze początkowego wektora infekcji wykorzystywanego przez Polonium, większość zidentyfikowanych ofiar korzystała z urządzeń Fortinet, co sugeruje, że podmiot atakujący zagrożenie mógł wykorzystać lukę CVE-2018-13379 do włamania.
Natomiast potencjalną współpracę z irańskimi cyberprzestępcami sugeruje dobór ofiar (w tym atakowanie ofiar MuddyWater) –sugeruje, że MOIS mógł zapewnić Polonium dostęp do zaatakowanych sieci – korzystanie z OneDrive jako C&C (podobny do Lyceum) oraz wykorzystanie AirVPN do działalności operacyjnej (również wykorzystywanego przez CopyKittens).
Samo zagrożenie przypisywane jest Libańskiemu aktorowi. I nie jest to oczywiście pierwszy przypadek ataków z tego kierunku. Przeszło rok ClearSky ujawnia, że hackerzy, których uważa się za powiązanych z rządem libańskim, skompromitowali setki serwerów należących do organizacji na całym świecie.
Grupa APT nazywała się Libańskim cedrem lub Lotnym cedrem, działa od 2012 r., z przerwą od 2015 r. po tym, jak jej działalność została szczegółowo opisana przez firmy zajmujące się cyberbezpieczeństwem.
Wróciła na początku 2020 r., kiedy analizy ujawniły użycie zaktualizowanej wersji Explosive RAT i powłoki internetowej Caterpillar, a artefakty zidentyfikowane w sieci ofiar pomogły badaczom zidentyfikować 250 naruszonych serwerów.
ClearSky wykrył zaatakowane firmy w Stanach Zjednoczonych, Wielkiej Brytanii, Egipcie, Izraelu, Jordanii, Libanie, Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich i innych krajach.
Ataki były silnie ukierunkowane i uważa się, że były motywowane interesami politycznymi i ideologicznymi, wskazywano na powiązania grupy z Cyber Unitem Hezbollahu.
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
