Microsoft บริษัทเทคโนโลยียักษ์ใหญ่เผยว่าได้พบและทำลายฐานปฏิบัติบน OneDrive ของ Polonium กลุ่มแฮกเกอร์จากเลบานอนที่พุ่งเป้าโจมตีทางไซเบอร์ต่อองค์กรต่าง ๆ ของอิสราเอล
ทางบริษัทยังระบุด้วยว่า Polonium ทำงานร่วมกับกลุ่มต่าง ๆ ที่มีความเชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS) ซึ่งไม่ถือเป็นเรื่องแปลกใหม่ เพราะในช่วง 2 ปีที่ผ่านมา รัฐบาลอิหร่านมักจ้างวานองค์กรภายนอกในการปฏิบัติการทางไซเบอร์ที่สนองต่อเป้าหมายของรัฐบาล
ในรอบ 3 เดือนที่ผ่านมา Polonium โจมตีทางไซเบอร์ต่อมากกว่า 20 องค์กรของอิสราเอล ในจำนวนนี้มีองค์กรระหว่างประเทศที่ตั้งอยู่ในเลบานอนด้วย องค์กรที่เป็นเป้าหมายมีทั้งที่ดำเนินการในด้านการผลิต อุตสาหกรรมทางทหาร เกษตรกรรมและอาหาร ระบบการเงินการธนาคาร หน่วยงานของรัฐ สาธารณสุข ไอที ระบบคมนาคม ฯลฯ
Polonium เคยโจมตีผู้ให้บริการคลาวด์เพื่อใช้ในการโจมตีบริษัทการบินและสำนักงานกฎหมาย ซึ่งหลายบริษัทที่ตกเป็นเป้านั้นทำงานร่วมกับอุตสาหกรรมทางทหารของรัฐบาลอิสราเอล
เครื่องมือสำคัญที่ใช้ในการปฏิบัติการของ Polonium คือบัญชี OneDrive ที่สร้างขึ้นเพื่อใช้เป็น Command and Control หรือฐานในการปฏิบัติทางไซเบอร์ ทางกลุ่มยังได้ดัดแปลงบริการคลาวด์อย่าง OneDrive และ Dropbox เพื่อเสริมการโจมตีด้วย
อย่างไรก็ดี Microsoft ยังไม่พบช่องทางที่ Polonium ใช้ในการโจมตีเป้าหมาย แต่สันนิษฐานว่าอาจจะใช้ช่องโหว่ของบริการด้านความมั่นคงปลอดภัยไซเบอร์ของบริษัท Fortinet ที่ชื่อว่า CVE-2018-13379 ในการโจมตี เนื่องจากเหยื่อส่วนใหญ่ใช้บริการของ Fortinet
สำหรับข้อสันนิษฐานที่เชื่อว่า Polonium ทำงานร่วมกับองค์กรของรัฐบาลอิหร่าน ก็เนื่องมาจากการการเลือกเหยื่อและเครื่องมือที่ใช้นั้นมีความคล้ายคลึงกับกลุ่มแฮกเกอร์ที่มีความเกี่ยวข้องกับรัฐบาลอิหร่าน อย่าง MuddyWater, Lyceum และ CopyKittens
ที่มา SecurityWeek
พิสูจน์อักษร : สุชยา เกษจำ