Dopo il primo allarme lanciato un paio di settimane fa, Microsoft torna ora sulla questione Zerologon svelando la possibile identità degli hacker attivamente impegnati a sfruttare la pericolosa vulnerabilità di sicurezza di Windows. Sono gli hacker iraniani di Mercury, che con tutta probabilità lavorano per conto diretto delle autorità islamiche di Teheran.
Anche nota come MuddyWatter, la crew di Mercury ha avviato campagne specifiche contro la falla Zerologon/ CVE-2020-1472 da un paio di settimane, dice Microsoft. Ora più che mai, l’installazione delle patch (disponibili da agosto) è assolutamente indispensabile e anzi obbligatoria – almeno nel caso delle agenzie federali statunitensi.
Zerologon è un baco sfruttabile per attaccare il protocollo remoto del servizio Netlogon, lasciando a un malintenzionato la possibilità di prendere il controllo di un dominio Active Directory in tempi brevi. A peggiorare ulteriormente la situazione c’è la pubblicazione del codice proof-of-concept (POC) utile a sfruttare la falla, e i tempi lasciano intendere che il team di MuddyWatter abbia messo subito a frutto l’exploit distribuito online.
Secondo le informazioni fin qui note, i criminali di MuddyWatter lavorano come contractor del governo iraniano prendendo ordini dai pasdaran del Corpo delle guardie della rivoluzione islamica, organo militare e di intelligence di primaria importanza all’interno del potere teocratico di Teheran.
I bersagli prediletti di MuddyWatter sono ONG, agenzie intergovernative e umanitarie, ma più di recente i criminali hanno agito contro chi è impegnato nella gestione dei rifugiati e contro i provider di soluzioni tecnologiche attivi in Medio Oriente.