Microsoft Perşembe günü yaptığı açıklamada, İran istihbaratıyla çalıştığına inandığı, daha önce bildirilmeyen Lübnan merkezli bir bilgisayar korsanlığı grubunu başarıyla “tanımladığını ve devre dışı bıraktığını” söyledi.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) tarafından “Polonium” olarak izlenen bilgisayar korsanlığı grubu, kritik üretime odaklanarak son üç ay içinde İsrail merkezli 20’den fazla kuruluşu ve Lübnan’da faaliyet gösteren bir hükümetler arası kuruluşu hedef aldı veya tehlikeye attı. BT ve İsrail’in savunma sanayii. Bir durumda, bir bulut hizmetleri sağlayıcısı “tedarik zinciri saldırısında bir alt havacılık şirketini ve hukuk firmasını hedef almak için kullanıldı”. Microsoft bir blog yazısında söyledi.
Polonyum operatörlerinin, Microsoft tarafından Mercury olarak izlenen MuddyWater APT grubu tarafından ele geçirilen ve bu yılın başlarında ABD Siber Komutanlığı’nın İran istihbaratıyla bağlantı kurduğu birden fazla kurbanı hedef aldığını da sözlerine ekledi.
Daha önce bilinmeyen bilgisayar korsanlığı grubu, meşru Microsoft OneDrive hesapları oluşturdu ve ardından saldırı operasyonlarının bir kısmını yürütmek için bu hesapları komuta ve kontrol (C2) olarak kullandı. Microsoft araştırmacıları, gözlemlenen etkinliğin OneDrive içindeki herhangi bir güvenlik sorunu veya güvenlik açığı ile ilgili olmadığını yazdı.
MSTIC, saldırıların arkasındaki grubun Lübnan merkezli olduğunu büyük bir güvenle belirlediğini ve Polonium’un İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile işbirliği yaptığından “orta derecede” emin olduklarını da sözlerine ekledi.
Microsoft, “Kurban örgütlerinin benzersizliği, görev gereksinimlerinin MOIS ile yakınsadığını gösteriyor” dedi. “Ayrıca, MOIS’in Polonium’a yeni etkinlik yürütmek için daha önce tehlikeye atılmış kurban ortamlarına erişim sağladığı bir ‘devre dışı’ operasyonel modelin kanıtı olabilir.”
Microsoft, Polonium tehdit aktörleri tarafından oluşturulan 20’den fazla kötü niyetli OneDrive uygulamasını başarıyla askıya aldığını söyledi. Şirket ayrıca etkilenen kuruluşları bilgilendirdiğini ve İran bağlantılı bilgisayar korsanları tarafından geliştirilen araçları karantinaya alacak bir dizi güvenlik istihbarat güncellemesi dağıttığını da sözlerine ekledi.
Saldırganların kurbanlarının ağlarına ilk erişimi nasıl elde ettikleri hala belirsiz, ancak Microsoft, güvenliği ihlal edilen kuruluşların yaklaşık %80’inin Fortinet cihazlarını çalıştırdığını ve bu durumun Polonium’un Fortinet’i üç yıllık bir süre boyunca tehlikeye attığını “öneriyor, ancak kesin olarak kanıtlamıyor”. -CVE-2018-13379 olarak tanımlanan eski güvenlik açığı.
Microsoft’un eylemi, ABD hükümetinin, Avustralya ve Birleşik Krallık’taki meslektaşlarıyla birlikte, İran devlet destekli bilgisayar korsanlarının kritik altyapı sektörlerindeki ABD kuruluşlarını, bazı durumlarda fidye yazılımlarını hedef aldığı konusunda uyarmasından birkaç ay sonra geldi. Danışmanlık belgesinde, İran destekli bilgisayar korsanlarının, bir sonraki ay ABD merkezli bir hastanenin ağlarına erişmeden önce, geçen yıl Mayıs ayında bir ABD belediye yönetiminin etki alanını barındıran bir web sunucusuna eriştiği belirtildi.
