Zadní vrátka Dindoor
Výzkum v oblasti hrozeb odhalil důkazy o íránské státem spojené kybernetické operaci, která se úspěšně začlenila do sítí několika organizací v Severní Americe. Mezi postižené subjekty patří banky, letiště, neziskové organizace a izraelská pobočka softwarové společnosti působící v oblasti obrany a letectví.
Kampaň byla připisována skupině MuddyWater, známé také jako Seedworm, což je skupina spojená s íránským ministerstvem pro zpravodajství a bezpečnost (MOIS). Vyšetřovatelé odhadují, že operace začala začátkem února 2026. Síťová aktivita spojená s kampaní se objevila krátce po vojenských úderech Spojených států a Izraele proti Íránu, což naznačuje potenciální geopolitický spouštěč kybernetické aktivity.
Zvláštní pozornost se zdá být věnována izraelské divizi cílového poskytovatele softwaru. Společnost dodává řešení pro řadu odvětví, včetně obrany a letectví, což z ní činí strategicky cenný cíl pro sběr zpravodajských informací a potenciální narušení.
Obsah
Dindoor: Nově identifikovaný backdoor využívající Deno
Bezpečnostní analytici zkoumající útoky identifikovali nasazení dříve nezdokumentovaného backdooru s názvem Dindoor. Malware používá jako součást svého spouštěcího prostředí běhové prostředí JavaScriptu Deno, což je relativně neobvyklá technika, která by mohla malwaru pomoci vyhnout se detekci v tradičních systémech bezpečnostního monitorování.
Útoky zahrnující dodavatele softwaru, americkou bankovní instituci a kanadskou neziskovou organizaci zřejmě posloužily jako vstupní body pro instalaci těchto zadních vrátek.
Byly také identifikovány důkazy o pokusu o únik dat. Vyšetřovatelé pozorovali použití utility Rclone k přenosu informací z prostředí napadené softwarové společnosti do cloudového úložiště hostovaného na platformě Wasabi. V době analýzy nebylo jasné, zda byl pokus o únik dat nakonec úspěšný.
Fakeset Backdoor se objevuje v dalších napadených sítích
V sítích amerického letiště a další neziskové organizace byla detekována samostatná malwarová komponenta známá jako Fakeset, napsaná v Pythonu. Tato zadní vrátka byla získána z infrastruktury spojené se společností Backblaze, poskytovatelem cloudového úložiště a zálohování se sídlem v USA.
Škodlivý náklad byl digitálně podepsán pomocí certifikátu, který byl dříve spojen se dvěma dalšími rodinami malwaru, Stagecomp a Darkcomp, které byly historicky spojovány s operacemi MuddyWater.
Výzkumníci hrozeb identifikovali vzorky malwaru s následujícími signaturami spojenými s ekosystémem MuddyWater:
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Ačkoli samotné Stagecomp a Darkcomp nebyly v napadených sítích zkoumaných v rámci tohoto vyšetřování objeveny, opětovné použití stejného digitálního certifikátu silně naznačuje zapojení stejného aktéra hrozby, což posiluje připisování hrozbě Seedworm.
Rozšiřování íránských kybernetických schopností a taktik sociálního inženýrství
Íránští kybernetičtí útočníci v posledních letech výrazně zlepšili své operační schopnosti. Jejich vývoj a nástroje pro malware se staly sofistikovanějšími, což umožňuje nenápadnější vytrvalost a efektivnější laterální pohyb v rámci sítí obětí.
Stejně pozoruhodné je rozšíření jejich strategií útoků zaměřených na člověka. Íránští operátoři demonstrovali stále pokročilejší metody sociálního inženýrství, včetně vysoce cílených phishingových kampaní a dlouhodobých operací typu „past na med“, jejichž cílem je vybudovat důvěru s jednotlivci, kteří jsou předmětem zájmu. Tyto taktiky se často používají k získání přístupu k účtům nebo k získání citlivých informací.
Dohled pomocí zranitelných kamer
Souběžné vyšetřování odhalilo, že další s Íránem spojené hrozby aktivně zkoumají sledovací zařízení připojená k internetu. Jeden z takových aktérů, Agrius, známý také pod aliasy Agonizing Serpens, Marshtreader a Pink Sandstorm, byl pozorován při hledání zranitelné infrastruktury pro video dohled.
Výzkumníci zdokumentovali pokusy o zneužití zaměřené na kamery a systémy videointerkomů Hikvision prostřednictvím známých zranitelností. Tyto aktivity se zintenzivnily uprostřed probíhajícího konfliktu na Blízkém východě, zejména v Izraeli a několika státech Perského zálivu.
Kampaň se zaměřila na zneužití zranitelností ovlivňujících sledovací zařízení od společností Dahua a Hikvision, včetně:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Bezpečnostní analytici se domnívají, že takové kompromitace mohou podpořit shromažďování vojenských zpravodajských informací, včetně operačního dohledu a hodnocení škod v boji (BDA) souvisejících s raketovými operacemi. V některých případech může k narušení kamer dojít před odpálením raket, aby se pomohlo s cílením nebo monitorováním výsledků.
Kybernetická aktivita jako předchůdce kinetických operací
Koordinované cílení na sledovací infrastrukturu je v souladu s dlouhodobými odhady, že íránská kybernetická doktrína integruje digitální průzkum do širšího vojenského plánování. Napadené kamery mohou poskytovat vizuální informace a situační povědomí v reálném čase.
Monitorování skenovací aktivity a pokusů o zneužití kamerové infrastruktury propojené se známými íránskými kybernetickými aktivy proto může sloužit jako včasný varovný signál pro potenciální následné kinetické operace.
Rostoucí rizika kybernetických odvet
Eskalace konfliktu mezi Spojenými státy, Izraelem a Íránem zvýšila riziko kybernetických odvetných opatření. V reakci na rostoucí hrozby vydalo Kanadské centrum pro kybernetickou bezpečnost (CCCS) varování, že Írán pravděpodobně využije své kybernetické schopnosti proti kritické infrastruktuře a provede vlivové nebo informační operace k prosazování strategických zájmů.
Tento vývoj zdůrazňuje rostoucí roli kyberprostoru jako paralelního bojiště během geopolitických konfliktů, kde špionáž, narušování a shromažďování zpravodajských informací stále častěji doprovázejí tradiční vojenské akce.
