Microsoft detectó y eliminó un grupo de piratas informáticos libanés vinculado a Irán que tenía como objetivo más de 20 organizaciones israelíes y una organización intergubernamental, anunció el jueves el conglomerado tecnológico.
El grupo, rastreado por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) con el nombre de POLONIUM, abusó de la plataforma de almacenamiento en la nube OneDrive de la compañía con fines de mando y control (C2).
POLONIUM, que no estaba documentado antes de esta violación de OneDrive, “apuntó o comprometió” a más de 20 empresas israelíes y una organización intergubernamental con operaciones en el Líbano en los últimos tres meses, dijo Microsoft.
Dijo que MSTIC evaluó con alta confianza que POLONIUM está basado en el Líbano, y añadió que podía dictaminar con “confianza moderada” que la actividad observada estaba coordinada con el ministerio de inteligencia y seguridad de Irán.
¿Cómo se dirigió el POLONIUM a organizaciones israelíes?
Se observó que POLONIUM creaba y utilizaba cuentas legítimas de OneDrive, y luego utilizaba esas cuentas como C2 para ejecutar parte de su operación de ataque.
Microsoft señaló que la actividad no representa una vulnerabilidad o un problema de seguridad en la plataforma OneDrive. Sin embargo, Microsoft añadió que ha desplegado actualizaciones de inteligencia de seguridad que “pondrán en cuarentena” las herramientas desarrolladas por los operadores de POLONIUM.
Además, Microsoft ha suspendido más de 20 aplicaciones maliciosas de OneDrive creadas por POLONIUM y ha informado a las organizaciones afectadas de los ataques.
Según la empresa, POLONIUM se dirigió principalmente a organizaciones israelíes especializadas en la fabricación y las tecnologías de la información críticas, así como a importantes organizaciones de la industria de defensa de Israel.
Microsoft y los hackers vinculados a Irán
Microsoft ha identificado y desactivado varios ataques vinculados a Irán contra empresas israelíes en el pasado reciente.
En octubre de 2021, Microsoft anunció que piratas informáticos iraníes habían atacado con éxito a empresas de tecnología de defensa estadounidenses e israelíes. Más de 250 cuentas de Microsft Office 365 vinculadas a los Estados Unidos, la UE y el gobierno israelí fueron hackeadas a través de una amplia pulverización de contraseñas.
Además, los puertos de entrada del Golfo Pérsico y las empresas de transporte marítimo mundial con presencia comercial en Oriente Medio también fueron objeto de ataques.
En 2019, Microsoft incautó 99 sitios web iraníes utilizados para robar información confidencial y lanzar ciberataques.