Microsoft interrumpe a los piratas informáticos vinculados a Irán que apuntan a organizaciones en Israel – TechCrunch

Microsoft interrumpe a los piratas informáticos vinculados a Irán que apuntan a organizaciones en Israel – TechCrunch

Microsoft dijo el jueves que ha “identificado y deshabilitado” con éxito un grupo de piratería con sede en el Líbano no informado anteriormente que cree que está trabajando con los angeles inteligencia iraní.

El grupo de piratería, rastreado por Microsoft Risk Intelligence Middle (MSTIC) como “Polonium”, apuntó o comprometió a más de 20 organizaciones con sede en Israel y una organización intergubernamental con operaciones en el Líbano durante los últimos tres meses, con un enfoque en los angeles fabricación crítica, TI y los angeles industria de defensa de Israel. En un caso, un proveedor de servicios en los angeles nube “se utilizó para atacar a una empresa de aviación y un bufete de abogados en un ataque a los angeles cadena de suministro”. Microsoft dijo en una publicación de blog.

Agregó que los operadores de Polonium también han apuntado a múltiples víctimas comprometidas por el grupo MuddyWater APT, rastreado por Microsoft como Mercury, que el Comando Cibernético de EE. UU. a principios de este año vinculó a los angeles inteligencia iraní.

El grupo de piratería previamente desconocido creó cuentas legítimas de Microsoft OneDrive y luego utilizó esas cuentas como comando y keep an eye on (C2) para ejecutar parte de su operación de ataque. L. a. actividad observada no estaba relacionada con ningún problema de seguridad o vulnerabilidad dentro de OneDrive, escribieron los investigadores de Microsoft.

MSTIC dijo que tenía mucha confianza en que el grupo detrás de los ataques tiene su sede en el Líbano, y agregó que estaban “moderadamente” seguros de que Polonium estaba colaborando con el Ministerio de Inteligencia y Seguridad de Irán (MOIS).

“L. a. singularidad de las organizaciones víctimas sugiere una convergencia de los requisitos de los angeles misión con MOIS”, dijo Microsoft. “También puede ser evidencia de un modelo operativo de ‘transferencia’ en el que MOIS proporciona a Polonium acceso a entornos de víctimas previamente comprometidos para ejecutar una nueva actividad”.

Microsoft cube que suspendió con éxito más de 20 aplicaciones maliciosas de OneDrive creadas por los actores de amenazas Polonium. L. a. compañía agregó que también notificó a las organizaciones afectadas y desplegó una serie de actualizaciones de inteligencia de seguridad que pondrán en cuarentena las herramientas desarrolladas por los piratas informáticos vinculados a Irán.

Todavía no está claro cómo los atacantes obtuvieron acceso inicial a las redes de sus víctimas, pero Microsoft señala que aproximadamente el 80 % de las organizaciones comprometidas estaban ejecutando dispositivos Fortinet, lo que “sugiere, pero no prueba definitivamente” que Polonium comprometió a Fortinet durante tres años. -vulnerabilidad antigua identificada como CVE-2018-13379.

L. a. acción de Microsoft se produce solo unos meses después de que el gobierno de EE. UU., junto con sus homólogos en Australia y el Reino Unido, advirtieran que los piratas informáticos respaldados por el estado iraní están apuntando a organizaciones estadounidenses en sectores de infraestructura crítica, en algunos casos con ransomware. El aviso decía que los piratas informáticos respaldados por Irán accedieron a un servidor internet que alojaba el dominio de un gobierno municipal de EE. UU. en mayo del año pasado, antes de acceder a las redes de un health center con sede en EE. UU. especializado en atención médica para niños el mes siguiente.