Skupina POLONIUM napojená na Írán zneužívá populární cloudové služby.
Podle posledních zjištění bezpečnostních analytiků ze společnosti ESET se skupina POLONIUM zaměřila výlučně na izraelské cíle, konkrétně zaútočila na organizace z různých odvětví jako strojírenství, informační technologie, právo, komunikace, branding a marketing, média, pojišťovnictví nebo sociální služby. POLONIUM je považována za operativní skupinu se sídlem v Libanonu, která koordinuje své aktivity s dalšími subjekty napojenými na íránské ministerstvo zpravodajských služeb a bezpečnosti. Skupina vyvinula vlastní špionážní nástroje a pro komunikaci s řídícími (C&C) servery zneužívá běžné cloudové služby, jako jsou Dropbox, OneDrive či Mega.
Bezpečnostní analytici ze společnosti ESET pojmenovali pět dříve nezdokumentovaných backdoorů neboli tzv. zadních vrátek příponou „-Creep“ (děsivý či strašidelný). Podle telemetrie společnosti ESET se APT skupina POLONIUM zaměřila na více než desítku izraelských organizací, a to minimálně už od září 2021. Poslední akce skupiny byly přitom zaznamenány v září 2022.
Útoky umožňují známá cloudová uložiště
Podle bezpečnostních expertů je POLONIUM velmi aktivním aktérem, který disponuje rozsáhlým arzenálem malwarových nástrojů, neustále je modifikuje a vyvíjí nové. Společným znakem v použití těchto nástrojů je zneužívání cloudových služeb, jako jsou Dropbox, Mega a OneDrive, ke kontrolní a řídící komunikaci typu C&C (command and control). Zpravodajské informace a veřejné zprávy o skupině POLONIUM jsou velmi kusé a omezené, pravděpodobně proto, že útoky skupiny jsou vysoce sofistikované a není znám počáteční vektor kompromitace.
„Četné verze a změny, které skupina POLONIUM zavedla do svých vlastních nástrojů, vypovídají o nepřetržité a dlouhodobé snaze o špionáž jejích cílů. Podle využívaných nástrojů můžeme usuzovat, že má zájem o sběr důvěrných dat svých obětí. Nezdá se však, že by se skupina zapojovala do sabotážních nebo ransomwarových akcí,“ Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.
Sada nástrojů skupiny POLONIUM se skládá ze sedmi vlastních backdoorů neboli zadních vrátek: CreepyDrive, který zneužívá cloudové služby OneDrive a Dropbox pro řídící komunikaci; CreepySnail, který vykonává příkazy přijaté z vlastní infrastruktury útočníků; DeepCreep a MegaCreep, které využívají služby Dropbox či Mega pro ukládání souborů; a FlipCreep, TechnoCreep a PapaCreep, které přijímají příkazy z řídících serverů útočníků.
Skupina POLONIUM také vyvinula několik vlastních modulů, které umožňují špehovat cíle pořizováním snímků obrazovky, zaznamenáváním stisků kláves, špehováním prostřednictvím webové kamery, otevíráním reverzních shellů, exfiltrací souborů a dalšími způsoby.
„Většinou jsou škodlivé moduly použité skupinou POLONIUM malé a s omezenou funkčností. V jednom případě útočníci použili jeden modul pro pořizování snímků obrazovky a druhý pro jejich odesílání na C&C server. Podobně útočníci rozdělují funkcionalitu také ve svých škodlivých kódech a rozdělují škodlivé akce do různých malých DLL knihoven. Za tímto chováním může být domněnka útočníků, že bezpečnostní analytici a specialisté chránící cílovou organizaci nebudou schopni pozorovat celý řetězec útoku a poskládat tak celý vektor útoku z jednotlivých dílčích kroků,“ shrnuje M. Jirkal.