Microsoft a déclaré jeudi qu’il avait réussi à “identifier et désactiver” un groupe de piratage basé au Liban qui, selon lui, travaillait avec les services de renseignement iraniens.
Le groupe de piratage, suivi par le Microsoft Threat Intelligence Center (MSTIC) sous le nom de «Polonium», a ciblé ou compromis plus de 20 organisations basées en Israël et une organisation intergouvernementale ayant des opérations au Liban au cours des trois derniers mois, en se concentrant sur la fabrication critique, L’informatique et l’industrie de la défense d’Israël. Dans un cas, un fournisseur de services cloud “a été utilisé pour cibler une compagnie aérienne et un cabinet d’avocats en aval dans une attaque de la chaîne d’approvisionnement”, a déclaré Microsoft dans un article de blog.
Il a ajouté que les opérateurs de Polonium ont également ciblé plusieurs victimes compromises par le groupe MuddyWater APT, suivi par Microsoft sous le nom de Mercury, que le Cyber Command américain a lié plus tôt cette année aux services de renseignement iraniens.
Le groupe de piratage jusqu’alors inconnu a créé des comptes Microsoft OneDrive légitimes, puis a utilisé ces comptes comme commande et contrôle (C2) pour exécuter une partie de leur opération d’attaque. L’activité observée n’était liée à aucun problème de sécurité ou vulnérabilité au sein de OneDrive, ont écrit les chercheurs de Microsoft.
Le MSTIC a déclaré avoir déterminé avec une grande confiance que le groupe à l’origine des attaques était basé au Liban, ajoutant qu’il était “modérément” convaincu que Polonium collaborait avec le ministère iranien du renseignement et de la sécurité (MOIS).
“Le caractère unique des organisations de victimes suggère une convergence des exigences de la mission avec le MOIS”, a déclaré Microsoft. “Cela peut également être la preuve d’un modèle opérationnel de” transfert “où MOIS fournit à Polonium un accès à des environnements de victimes précédemment compromis pour exécuter une nouvelle activité.”
Microsoft affirme avoir suspendu avec succès plus de 20 applications OneDrive malveillantes créées par les acteurs de la menace Polonium. La société a ajouté qu’elle avait également informé les organisations concernées et déployé une série de mises à jour du renseignement de sécurité qui mettront en quarantaine les outils développés par les pirates liés à l’Iran.
On ne sait toujours pas comment les attaquants ont obtenu un accès initial aux réseaux de leurs victimes, mais Microsoft note qu’environ 80 % des organisations compromises utilisaient des appliances Fortinet, ce qui « suggère, mais ne prouve pas définitivement » que le Polonium a compromis le Fortinet en utilisant une période de trois ans. -old vulnérabilité identifiée comme CVE-2018-13379.
L’action de Microsoft intervient quelques mois seulement après que le gouvernement américain, ainsi que ses homologues australiens et britanniques, ont averti que des pirates informatiques soutenus par l’État iranien ciblaient des organisations américaines dans des secteurs d’infrastructures critiques – dans certains cas avec des ransomwares. L’avis indique que des pirates informatiques soutenus par l’Iran ont accédé à un serveur Web hébergeant le domaine d’un gouvernement municipal américain en mai de l’année dernière, avant d’accéder aux réseaux d’un hôpital américain spécialisé dans les soins de santé pour enfants le mois suivant.