0
0
Depois de detectar um grupo de hackers libanês que chama de Polonium abusando de seu serviço de armazenamento pessoal OneDrive, a Microsoft diz que foi capaz de desativar o grupo, que poderia ter ligações com o governo iraniano.
Em seu mais recente esforço, a ameaça persistente avançada (APT) teve como alvo mais de 20 organizações israelenses e uma organização intergovernamental. O Microsoft Threat Intelligence Center (MSTIC) diz que suspendeu mais de 20 aplicativos OneDrive maliciosos criados por atores da Polonium na campanha.
Entre as organizações alvo estavam as envolvidas em manufatura crítica, sistemas de transporte, serviços financeiros, TI e a indústria de defesa de Israel, diz a gigante do software – todas elas oferecem uma avenida para realizar ataques à cadeia de suprimentos a jusante.
“Em pelo menos um caso, o compromisso da Polonium com uma empresa de TI foi usado para atingir uma empresa de aviação a jusante e um escritório de advocacia em um ataque à cadeia de suprimentos que dependia de credenciais de prestadores de serviços para obter acesso às redes alvo”, segundo a MSTIC. “Várias empresas de manufatura que eles visavam também servem à indústria de defesa de Israel, indicando uma tática de Polônio que segue uma tendência crescente de muitos atores, incluindo entre vários grupos iranianos, de direcionar o acesso do provedor de serviços para obter acesso a jusante.”
Rotina de Infecção do Polônio
Em 80% dos casos observados, o grupo explorou uma falha nos aparelhos Fortinet VPN (provavelmente via vulnerabilidade CVE-2018-13379) para obter acesso inicial. Em seguida, eles instalaram um implante powershell personalizado chamado CreepySnail nas redes de destino, de acordo com a Microsoft. A partir daí, os atores implantaram um conjunto de ferramentas chamada CreepyDrive e CreepyBox para abusar de serviços legítimos de nuvem para comando e controle (C2) na maioria de suas vítimas.
O MSTIC diz com “confiança moderada” que os ataques provavelmente foram realizados com a ajuda do Ministério de Inteligência e Segurança do Irã (MOIS).
“A atividade observada foi coordenada com outros atores afiliados ao [MOIS] do Irã, baseados principalmente na sobreposição das vítimas e na comunhão de ferramentas e técnicas”, afirma a avaliação do MSTIC. “A tática de aproveitar produtos de TI e provedores de serviços para obter acesso a clientes a jusante continua sendo a favorita dos atores iranianos e seus proxies.”
Operações Cibernéticas em Apoio aos Objetivos do Estado
Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, explica que o Irã, especificamente o MOIS, usa uma variedade de organizações e afiliados para realizar operações cibernéticas em apoio aos interesses do governo iraniano.
“Essa atividade, que abrange o espectro de responsabilidade do Estado, reflete o apoio material do Irã a várias organizações”, diz ela.
Na perspectiva de DeGrippo, este relatório demonstra outro exemplo de como o Irã e Israel estão envolvidos em conflitos cibernéticos e vem em meio ao aumento das tensões da zona cinzenta entre o Irã e seus adversários.
Em março de 2021, por exemplo, o Proofpoint informou sobre como o ator de ameaça alinhado ao Irã TA453 tinha como alvo pesquisadores médicos israelenses e americanos no final de 2020. O TA453 tem historicamente alinhado com as prioridades do Corpo de Guarda Revolucionária Islâmica (IRGC), tendo como alvo dissidentes, acadêmicos, diplomatas e jornalistas.
“Embora esta campanha possa ter sido um requisito pontual, o TA453 que tem como alvo organizações e indivíduos israelenses é consistente com essas tensões geopolíticas cada vez maiores entre os dois países”, observou.
Defesa deve se concentrar na atividade de autenticação
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, fornecedora da SaaS para remediação de riscos cibernéticos corporativos, diz que, embora saber que a motivação exata da Polonium seja impossível, dada a conhecida animosidade entre os estados envolvidos, é uma “aposta razoavelmente segura” que eles estão tentando causar o máximo de danos possível aos seus alvos como parte de uma agenda maior.
“Atores de ameaças patrocinados pelo Estado e pelo Estado compõem os problemas apresentados por grupos cibernéticos comuns”, explica ele ao Dark Reading. “Onde os criminosos geralmente estão após informações à venda, dados para guardar para resgate ou recursos para usar para novos ataques, atores estatais geralmente têm motivações adicionais e muito mais profundas”, como espionagem cibernética ou ataques destrutivos.
Por causa da sobreposição de técnicas e ferramentas, pode ser difícil diferenciar os dois, o que pode complicar a questão para as organizações-alvo, acrescenta.
Defendendo ataques cibernéticos patrocinados pelo Estado
Para impedir ataques como esses, a Microsoft aconselha que as organizações revisem todas as atividades de autenticação em toda a sua infraestrutura de acesso remoto e VPNs. Um foco específico deve ser fixado em contas configuradas com autenticação de fator único, para confirmar a autenticidade e investigar qualquer atividade anômera.
Parkin ressalta que os registros de acesso e autenticação podem facilmente revelar atividades suspeitas e impedir que uma tentativa de violação se transforme em um incidente digno de notícia.
“Há um velho ditado da administração do sistema sobre a inutilidade de manter registros que nunca são revisados”, diz ele. “Com os registros de acesso, as revisões regulares para atividades suspeitas devem estar acontecendo regularmente. Se não, por que mantê-los?
Além de corrigir vulnerabilidades conhecidas, o DeGrippo do Proofpoint também observa que uma prática básica de defesa é garantir que todas as contas de acesso remoto sejam necessárias para habilitar a autenticação multifatorial (MFA).
“As contas que requerem apenas autenticação de fator único não têm a proteção que o MFA fornece, permitindo que um invasor phish ou engenharia social de um usuário sem encontrar uma autenticação secundária”, acrescenta.
VPNs: Pegando uma página do Urso Chique
Phil Neray, vice-presidente de estratégia de defesa cibernética da CardinalOps, uma empresa de otimização de cobertura de ameaças, diz ao Dark Reading que o ator de ameaças russo Fancy Bear (também conhecido como APT28 e Estrôncio) também teve como alvo VPNs em grande escala em 2018 com a campanha VPNFilter, que também teve como alvo a infraestrutura crítica.
A MITRE ATT&CK classifica essa abordagem como T1133 Serviços Remotos Externos, com mitigações recomendadas, incluindo a criação de consultas de detecção de informações de segurança e gerenciamento de eventos (SIEM) que examinam registros de autenticação para padrões de acesso incomuns, janelas de atividade e acesso fora do horário comercial normal.
“Explorar VPNs vulneráveis como ponto de acesso inicial, como nesta campanha, também é atraente, uma vez que as VPNs são expostas à Internet de um lado e fornecem acesso direto à rede de vítimas do outro”, diz Neray. “Recomendamos garantir que seu SIEM tenha detecções específicas para ele, como monitorar logins suspeitos.”
FONTE: DARK READING