Microsoft sagte am Donnerstag, dass es erfolgreich eine zuvor nicht gemeldete Hacking-Gruppe aus dem Libanon „identifiziert und deaktiviert“ habe, von der es glaubt, dass sie mit dem iranischen Geheimdienst zusammenarbeitet.
Die Hackergruppe, die vom Microsoft Threat Intelligence Center (MSTIC) als „Polonium“ verfolgt wird, hat in den letzten drei Monaten mehr als 20 Organisationen mit Sitz in Israel und eine zwischenstaatliche Organisation mit Operationen im Libanon ins Visier genommen oder kompromittiert, mit Schwerpunkt auf kritischer Fertigung, IT und Israels Verteidigungsindustrie. In einem Fall wurde ein Anbieter von Cloud-Diensten „verwendet, um ein nachgelagertes Luftfahrtunternehmen und eine Anwaltskanzlei bei einem Angriff auf die Lieferkette anzugreifen“. Microsoft sagte in einem Blogbeitrag.
Es fügte hinzu, dass Polonium-Betreiber auch mehrere Opfer ins Visier genommen haben, die von der MuddyWater APT-Gruppe kompromittiert wurden, die von Microsoft als Mercury verfolgt wird und die das US Cyber Command Anfang dieses Jahres mit dem iranischen Geheimdienst in Verbindung gebracht hat.
Die zuvor unbekannte Hackergruppe erstellte legitime Microsoft OneDrive-Konten und nutzte diese Konten dann als Befehl und Kontrolle (C2), um einen Teil ihrer Angriffsoperation auszuführen. Die beobachtete Aktivität stehe nicht im Zusammenhang mit Sicherheitsproblemen oder Schwachstellen in OneDrive, schrieben die Microsoft-Forscher.
MSTIC sagte, es habe mit hoher Zuversicht festgestellt, dass die Gruppe hinter den Angriffen im Libanon ansässig sei, und fügte hinzu, dass sie „mäßig“ zuversichtlich seien, dass Polonium mit dem iranischen Geheimdienst- und Sicherheitsministerium (MOIS) zusammenarbeite.
„Die Einzigartigkeit der Opferorganisationen legt eine Konvergenz der Missionsanforderungen mit MOIS nahe“, sagte Microsoft. „Es könnte auch ein Beweis für ein ‚Übergabe‘-Betriebsmodell sein, bei dem MOIS Polonium Zugang zu zuvor kompromittierten Opferumgebungen verschafft, um neue Aktivitäten auszuführen.“
Microsoft sagt, dass es erfolgreich mehr als 20 bösartige OneDrive-Anwendungen ausgesetzt hat, die von den Polonium-Bedrohungsakteuren erstellt wurden. Das Unternehmen fügte hinzu, dass es auch betroffene Organisationen benachrichtigt und eine Reihe von Updates für Sicherheitsinformationen bereitgestellt habe, die die von den mit dem Iran verbundenen Hackern entwickelten Tools unter Quarantäne stellen.
Es ist immer noch unklar, wie die Angreifer den ersten Zugriff auf die Netzwerke ihrer Opfer erlangten, aber Microsoft stellt fest, dass etwa 80 % der kompromittierten Organisationen Fortinet-Appliances ausführten, was „suggeriert, aber nicht definitiv beweist“, dass das Polonium das Fortinet über einen Zeitraum von drei Jahren kompromittiert hat -alte Schwachstelle identifiziert als CVE-2018-13379.
Die Aktion von Microsoft erfolgt nur wenige Monate, nachdem die US-Regierung zusammen mit Kollegen in Australien und Großbritannien davor gewarnt hatte, dass vom iranischen Staat unterstützte Hacker US-Organisationen in kritischen Infrastruktursektoren angreifen – in einigen Fällen mit Ransomware. Das Gutachten besagt, dass vom Iran unterstützte Hacker im Mai letzten Jahres auf einen Webserver zugegriffen haben, auf dem die Domain einer US-Stadtverwaltung gehostet wurde, bevor sie im folgenden Monat auf die Netzwerke eines in den USA ansässigen Krankenhauses zugegriffen haben, das sich auf die Gesundheitsfürsorge für Kinder spezialisiert hat.