مایکروسافت هکرهای مرتبط با ایران را که سازمان‌های اسرائیلی را هدف قرار می‌دهند، قطع کرده است

مایکروسافت روز پنجشنبه اعلام کرد که با موفقیت یک گروه هکر مستقر در لبنان را که می گوید با اطلاعات ایران کار می کند، “شناسایی و غیرفعال” کرده است.

این گروه هکری که توسط مرکز اطلاعاتی تهدیدات مایکروسافت (MSTIC) تحت عنوان پولونیوم ردیابی می‌شود، بیش از 20 سازمان مستقر در اسرائیل و یک سازمان بین‌دولتی با فعالیت در لبنان را در طول سه ماه گذشته هدف قرار داده یا به خطر انداخته است که بر تولید حیاتی، فناوری اطلاعات و اسرائیل تمرکز دارد. صنعت دفاعی مایکروسافت در یک پست وبلاگی گفت در یک مورد، یک ارائه دهنده خدمات ابری “برای هدف قرار دادن یک شرکت هواپیمایی و یک شرکت حقوقی پایین دستی در یک حمله زنجیره تامین استفاده شد.”

این گزارش افزود که اپراتورهای پولونیوم تعدادی قربانی را نیز هدف قرار داده اند که توسط گروه MuddyWater APT که توسط مایکروسافت به عنوان مرکوری ردیابی شده بود، که فرماندهی سایبری ایالات متحده در اوایل سال جاری به اطلاعات ایران مرتبط بود، در معرض خطر قرار گرفتند.

گروه هکری که قبلاً ناشناخته بود، حساب‌های قانونی مایکروسافت OneDrive ایجاد کرد و سپس از آن حساب‌ها به عنوان فرمان و کنترل (C2) برای انجام بخشی از عملیات حمله خود استفاده کرد. محققان مایکروسافت می نویسند که فعالیت مشاهده شده به مسائل امنیتی یا آسیب پذیری در OneDrive مربوط نمی شود.

MSTIC گفت مطمئن است که گروه پشت این حملات در لبنان مستقر است و افزود که آنها “متوسط” مطمئن هستند که پولونیوم با وزارت اطلاعات و امنیت ایران (MOIS) همکاری می کند.

مایکروسافت گفت: «ویژگی سازمان‌های قربانیان نشان‌دهنده همگرایی الزامات مأموریت با MOIS است. “این ممکن است شاهدی بر یک مدل عملیاتی “انتقال” باشد، که در آن MOIS به پولونیوم دسترسی به محیط قربانی قبلاً در معرض خطر برای فعالیت‌های جدید را می‌دهد.

مایکروسافت می گوید با موفقیت بیش از 20 برنامه مخرب OneDrive ایجاد شده توسط شرکت کنندگان در تهدید پولونیوم را متوقف کرده است. این شرکت افزود که به سازمان‌های آسیب‌دیده نیز اطلاع داده و یک سری به‌روزرسانی‌های اطلاعاتی امنیتی را اجرا کرده است که ابزارهای توسعه‌یافته توسط هکرهای مرتبط با ایران را قرنطینه می‌کند.

هنوز مشخص نیست که مهاجمان چگونه به شبکه‌های قربانیان خود دسترسی اولیه پیدا کرده‌اند، اما مایکروسافت خاطرنشان می‌کند که تقریباً 80 درصد از سازمان‌های در معرض خطر از دستگاه‌های Fortinet استفاده می‌کردند، که “پیشنهاد می‌کند اما به طور قطعی ثابت نمی‌کند” که Polonium با استفاده از یک دوره سه ساله به Fortinet آسیب رسانده است. آسیب‌پذیری قدیمی با نام CVE-2018-13379 شناسایی شده است.

اقدام مایکروسافت تنها چند ماه پس از آن صورت گرفت که دولت ایالات متحده و همتایان خود در استرالیا و بریتانیا هشدار دادند که هکرهای تحت حمایت ایران سازمان‌های آمریکایی را در بخش‌های زیرساختی حیاتی – در برخی موارد با نرم‌افزار باج‌گیری – هدف قرار می‌دهند. این شورا گفت هکرهای تحت حمایت ایران در ماه مه گذشته قبل از دسترسی به شبکه‌های یک بیمارستان بهداشت کودکان مستقر در ایالات متحده، به یک وب سرور میزبان دامنه دولت شهری ایالات متحده دسترسی پیدا کردند.