Attaques basées sur OneDrive : Microsoft a bloqué les pirates de Polonium
Microsoft vient de serrer la vis à un groupe de pirates basé au Liban et identifié avec le nom Polonium, car visiblement ils utilisaient la plateforme de stockage Cloud OneDrive pour stocker des données exfiltrées dans le cadre d'attaques, mais aussi pour des actions de Command & Control. Des entreprises et entités israéliennes sont ciblées par ce groupe de pirates.
Après avoir détecté cette activité malveillante, Microsoft a bloqué les différents comptes associés au groupe de pirates Polonium et la firme de Redmond a également suspendu plus de 20 applications OneDrive malveillantes utilisées lors d'attaques. La solution de sécurité de Microsoft détecte désormais ces outils malveillants afin de les mettre en quarantaine. Par ailleurs, Microsoft a notifié les entreprises ciblées par ces attaques et il s'avère que ce sont des entreprises israéliennes importantes, notamment dans le secteur de l'informatique et de l'industrie.
Bien que les pirates du groupe Polonium semblent être du Liban, il y aurait un lien avec d'autres acteurs liés à l'Iran. Voici ce qu'affirme Microsoft : "Nous estimons également avec une confiance modérée que l'activité observée a été coordonnée avec d'autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité (MOIS), principalement en raison des victimes communes et de la similitude des outils et des techniques.". Microsoft a identifié des preuves indiquant que les opérateurs du MOIS ont peut-être fourni aux pirates de Polonium un accès à des réseaux précédemment compromis, permettant aux pirates de Polonium de réaliser facilement certaines attaques.
Toujours d'après les analyses de l'entreprise américaine, dans de nombreux cas, l'accès initial a été possible en exploitant une faille de sécurité dans les boîtiers Fortinet : "Bien que nous continuions à chercher à confirmer comment POLONIUM a obtenu l'accès initial à un grand nombre de ses victimes, MSTIC (Microsoft Threat Intelligence Center) note qu'environ 80 % des victimes observées se connectant à graph.microsoft.com utilisaient des appliances Fortinet.". En fait, il s'agirait de la vulnérabilité CVE-2018-13379 qui était déjà l'une des failles de sécurité les plus exploitées en 2021, et qui se situe dans la fonction SSL VPN de FortiOS. D'ailleurs, une liste de 500 000 couples identifiants et mots de passe Fortinet avait fuité sur le Web l'année dernière.
Avec la dernière mise à jour de sécurité de Microsoft Defender (minimum 1.365.40.0), les outils malveillants utilisés par Polonium sont détectés et bloqués. En complément, Microsoft en remet une couche sur la nécessité de mettre en place le MFA pour protéger les comptes utilisateurs.