A Microsoft revelou na quinta-feira que detectou e desativou a infraestrutura da rede Polonium, que a empresa descreveu como um grupo de hackers sediado no Líbano que tem como alvo mais de 20 organizações israelenses.
A gigante da tecnologia disse que o grupo provavelmente “coordenou com outros atores afiliados ao Ministério de Inteligência e Segurança do Irã (MOIS)”.
“Tal colaboração ou direção de Teerã se alinharia a uma série de revelações desde o final de 2020 de que o governo do Irã está usando terceiros para realizar operações cibernéticas em seu nome, provavelmente para aumentar a negação plausível do Irã”, disse a Microsoft em um post no blog expondo Infraestrutura e táticas do Polonium.
A empresa disse que os atores do Polonium abusaram de sua plataforma de serviço em nuvem OneDrive para os ataques cibernéticos vinculados ao Irã, inclusive por meio de exfiltração de dados e técnicas de comando e controle. De acordo com especialistas em inteligência da Microsoft, a infraestrutura da Polonium nos últimos três meses atingiu ou comprometeu mais de 20 organizações baseadas em Israel, principalmente nas áreas de defesa e manufatura crítica, bem como uma organização intergovernamental com operações no Líbano.
Após a detecção, a empresa disse que suspendeu mais de 20 aplicativos maliciosos do OneDrive criados por agentes do Polonium, notificou as organizações afetadas e operou uma série de atualizações de inteligência de segurança.
Desde fevereiro de 2022, os operadores do Polonium têm como alvo empresas e organizações baseadas em Israel envolvidas em manufatura crítica, TI, indústria de defesa, sistemas de transporte, agências e serviços governamentais, serviços financeiros, saúde e saúde pública, disse o relatório.
Em pelo menos um caso, um ataque de hackers da Polonium a uma empresa de TI em Israel foi usado para atingir uma empresa de aviação e um escritório de advocacia que dependia de credenciais de provedores de serviços para acessar suas redes e clientes.
“Várias empresas de manufatura visadas também atendem à indústria de defesa de Israel, indicando uma tática de polônio que segue uma tendência crescente de muitos atores, incluindo vários grupos iranianos, de direcionar o acesso do provedor de serviços para obter acesso downstream”, divulgou a Microsoft. “A tática de alavancar produtos e provedores de serviços de TI para obter acesso a clientes downstream continua sendo a favorita dos atores iranianos e seus representantes.”
A exposição do grupo de hackers também esclarece como os agentes de ameaças iranianos usam proxies para operacionalizar seus ataques cibernéticos, disse a empresa. A análise das operações cibernéticas da Polonium mostrou que eles tinham como alvo várias organizações que foram anteriormente comprometidas pelo MuddyWater, um grupo de hackers vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS).
A divulgação veio um dia depois que o diretor do FBI, Christopher Wray, descreveu os esforços do governo iraniano para invadir o Hospital Infantil de Boston no ano passado, em um ataque que poderia ter interrompido o atendimento ao paciente.
Falando em uma conferência realizada no Boston College na quarta-feira, Wray chamou o incidente de “um dos ataques cibernéticos mais desprezíveis que já vi” e disse que era emblemático da ameaça representada por Teerã à infraestrutura crítica nos EUA.
Publicado em 03/06/2022 10h59
Artigo original: