Attaques basées sur OneDrive : Microsoft a bloqué les pirates de Polonium

Microsoft vient de serrer la vis à un groupe de pirates basé au Liban et identifié avec le nom Polonium, car visiblement ils utilisaient la plateforme de stockage Cloud OneDrive pour stocker des données exfiltrées dans le cadre d'attaques, mais aussi pour des actions de Command & Control. Des entreprises et entités israéliennes sont ciblées par ce groupe de pirates.

Après avoir détecté cette activité malveillante, Microsoft a bloqué les différents comptes associés au groupe de pirates Polonium et la firme de Redmond a également suspendu plus de 20 applications OneDrive malveillantes utilisées lors d'attaques. La solution de sécurité de Microsoft détecte désormais ces outils malveillants afin de les mettre en quarantaine. Par ailleurs, Microsoft a notifié les entreprises ciblées par ces attaques et il s'avère que ce sont des entreprises israéliennes importantes, notamment dans le secteur de l'informatique et de l'industrie.

Bien que les pirates du groupe Polonium semblent être du Liban, il y aurait un lien avec d'autres acteurs liés à l'Iran. Voici ce qu'affirme Microsoft : "Nous estimons également avec une confiance modérée que l'activité observée a été coordonnée avec d'autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité (MOIS), principalement en raison des victimes communes et de la similitude des outils et des techniques.". Microsoft a identifié des preuves indiquant que les opérateurs du MOIS ont peut-être fourni aux pirates de Polonium un accès à des réseaux précédemment compromis, permettant aux pirates de Polonium de réaliser facilement certaines attaques.

Toujours d'après les analyses de l'entreprise américaine, dans de nombreux cas, l'accès initial a été possible en exploitant une faille de sécurité dans les boîtiers Fortinet : "Bien que nous continuions à chercher à confirmer comment POLONIUM a obtenu l'accès initial à un grand nombre de ses victimes, MSTIC (Microsoft Threat Intelligence Center) note qu'environ 80 % des victimes observées se connectant à graph.microsoft.com utilisaient des appliances Fortinet.". En fait, il s'agirait de la vulnérabilité CVE-2018-13379 qui était déjà l'une des failles de sécurité les plus exploitées en 2021, et qui se situe dans la fonction SSL VPN de FortiOS. D'ailleurs, une liste de 500 000 couples identifiants et mots de passe Fortinet avait fuité sur le Web l'année dernière.

Avec la dernière mise à jour de sécurité de Microsoft Defender (minimum 1.365.40.0), les outils malveillants utilisés par Polonium sont détectés et bloqués. En complément, Microsoft en remet une couche sur la nécessité de mettre en place le MFA pour protéger les comptes utilisateurs.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.