Microsoft reveló a principios de junio que había identificado y frustrado los ataques de un grupo de piratas informáticos con sede en el Líbano. En respuesta al nombre de Polonium, se sospecha que estos piratas informáticos trabajan en nombre del Ministerio de Inteligencia de la República Islámica de Irán (VAJA).
Piratas libaneses enviados por Irán
El Microsoft Threat Intelligence Center (MSTIC) ha anunciado que ha suspendido más de 20 cuentas maliciosas de OneDrive. Los ciberdelincuentes supuestamente usaron la plataforma de almacenamiento en la nube de Microsoft para almacenar datos robados para su uso posterior en sus ataques.
Los piratas informáticos de Russian Evil Corp intentan evadir las sanciones de EE. UU. Con RaaS
En los últimos tres meses, Polonium supuestamente usó sus perfiles para comprometer a unas 20 organizaciones con sede en Israel, así como a una organización intergubernamental con actividades en el Líbano. Los ciberdelincuentes se dirigieron principalmente a empresas israelíes en el sector de la industria de TI y defensa. Microsoft indica que uno de los ataques comprometió a una empresa de TI para atacar a una empresa de aviación y un bufete de abogados en previsión de un ataque a su cadena de suministro. Usaron credenciales robadas a proveedores de servicios para acceder a redes «. Los nombres de las organizaciones víctimas de estas acciones no han sido revelados.
Por el momento, el MSTIC afirma que el grupo Polonium actuaría desde el Líbano. Los investigadores de Microsoft son más cautelosos al vincular estos actos con VAJA. » También estimamos con confianza moderada que la actividad fue coordinada con otros actores afiliados a VAJA, principalmente debido a las víctimas comunes y la similitud de las herramientas y técnicas utilizadas. “, explica la compañía en su nota de prensa.
Según la investigación de Microsoft, los miembros de VAJA proporcionaron a Polonium el acceso comprometido de ciertas víctimas. » Tal colaboración o incluso dirección por parte de Teherán se alinearía con la serie de revelaciones de que el gobierno iraní ha estado utilizando a terceros desde 2020 para llevar a cabo ciberataques en su nombre. », preciso la MTIC.
Los piratas informáticos libaneses se habrían aprovechado de una conocida falla de seguridad en el software emitido por la empresa de ciberseguridad Fortinet: la vulnerabilidad CVE-2018-13379. Debido a esta violación, el año pasado se filtró en Internet una lista de 500.000 nombres de usuario y contraseñas de Fortinet.
Irán domina el espionaje cibernético con la punta de los dedos
Irán es un maestro en el arte de los ciberataques. En 2010, luego de un gran ataque contra las computadoras utilizadas en su programa nuclear, el país decidió invertir en el ciberespacio. En 2012, usando sus nuevas capacidades, destruyó cerca de 30.000 computadoras en la compañía petrolera Aramco en Arabia Saudita.
A finales de 2020, Microsoft ya alertaba sobre la posible implicación de Irán en el hackeo de los buzones de correo de periodistas estadounidenses y de un candidato a las elecciones presidenciales de Estados Unidos. Desde entonces, las autoridades estadounidenses se muestran recelosas ante las ofensivas y temen por sus empresas del sector de las telecomunicaciones y la energía.
Más recientemente, se sospechaba que Irán había llevado a cabo uno de los ataques cibernéticos más grandes en la historia de Israel. Todos los sitios del gobierno israelí quedaron inaccesibles después de un poderoso ataque de denegación de servicio (DDoS). Después de todo, Irán se ha posicionado durante años como un oponente de Israel con el Líbano de su lado. Lo que refuerza la hipótesis planteada por Microsoft que señala a Teherán como el cerebro detrás de las cuentas maliciosas de OneDrive.