Dindoori tagauks
Ohuuuringud on paljastanud tõendeid Iraani riiklikult juhitud küberoperatsiooni kohta, mis edukalt põimis end mitme organisatsiooni võrgustikesse üle Põhja-Ameerika. Mõjutatud üksuste hulka kuuluvad pangad, lennujaamad, mittetulundusühingud ja kaitse- ja lennundussektorit teenindava tarkvarafirma Iisraeli haru.
Kampaaniat on seostatud MuddyWateriga, tuntud ka kui Seedworm, mis on Iraani luure- ja julgeolekuministeeriumiga (MOIS) seotud ohurühmitus. Uurijate hinnangul algas operatsioon 2026. aasta veebruari alguses. Kampaaniaga seotud võrgutegevus kerkis pinnale vahetult pärast USA ja Iisraeli sõjalisi rünnakuid Iraani vastu, mis viitab kübertegevuse võimalikule geopoliitilisele päästikule.
Erilist tähelepanu näib olevat pööratud sihtmärgiks oleva tarkvarapakkuja Iisraeli osakonnale. Ettevõte pakub lahendusi mitmele tööstusharule, sealhulgas kaitse- ja lennundustööstusele, muutes selle strateegiliselt väärtuslikuks sihtmärgiks luureandmete kogumiseks ja potentsiaalsete häirete tekitamiseks.
Sisukord
Dindoor: äsja tuvastatud tagaukse tehnoloogiat kasutav Denoor
Sissetunge uurinud turvaanalüütikud tuvastasid varem dokumenteerimata tagaukse nimega Dindoor. Pahavara kasutab oma täitmiskeskkonna osana Deno JavaScripti käituskeskkonda, mis on suhteliselt haruldane tehnika, mis võib aidata pahavaral traditsioonilistes turvaseiresüsteemides avastamist vältida.
Rünnakud, mis hõlmasid tarkvaratootjat, USA pangandusasutust ja Kanada mittetulundusühingut, näivad olevat olnud sisenemispunktideks selle tagaukse paigaldamiseks.
Samuti tuvastati tõendeid andmete väljatõrjumise katse kohta. Uurijad täheldasid Rclone utiliidi kasutamist teabe edastamiseks ohustatud tarkvarafirma keskkonnast Wasabi serveris majutatud pilvesalvestusämbrisse. Analüüsi ajal jäi selgusetuks, kas andmete väljatõrjumise katse lõpuks õnnestus.
Fakeset’i tagauks ilmub täiendavatesse ohustatud võrkudesse
USA lennujaama ja teise mittetulundusühingu võrkudes tuvastati eraldi pahavara komponent nimega Fakeset, mis on kirjutatud Pythonis. See tagauks saadi kätte USA-s asuva pilvesalvestuse ja varundamise pakkuja Backblaze'iga seotud infrastruktuurist.
Pahatahtlik koormus allkirjastati digitaalselt sertifikaadiga, mis on varem seotud kahe teise pahavaraperekonnaga, Stagecomp ja Darkcomp, mis mõlemad on ajalooliselt seotud MuddyWateri tegevusega.
Ohuuurijad on tuvastanud järgmiste MuddyWateri ökosüsteemiga seotud pahavara näidised:
- Trooja:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Kuigi Stagecompi ja Darkcompi ennast käesolevas uurimises uuritud ohustatud võrkudest ei leitud, viitab sama digitaalse sertifikaadi taaskasutamine tugevalt sama ohu tegija osalemisele, mis tugevdab omistamist Seedwormile.
Iraani kübervõimete ja sotsiaalse manipuleerimise taktika laiendamine
Iraani küberohtude tegijad on viimastel aastatel oma operatiivset võimekust märkimisväärselt parandanud. Nende pahavara arendus ja tööriistad on muutunud keerukamaks, võimaldades varjatumat püsivust ja tõhusamat külgmist liikumist ohvrite võrgustikes.
Samavõrd tähelepanuväärne on nende inimkesksete rünnakustrateegiate laienemine. Iraani operaatorid on demonstreerinud üha arenenumaid sotsiaalse manipuleerimise meetodeid, sealhulgas sihipäraseid odaõngepüügikampaaniaid ja pikaajalisi „meelõksu“ operatsioone, mille eesmärk on luua usaldust huvipakkuvate isikutega. Neid taktikaid kasutatakse sageli kontodele juurdepääsu saamiseks või tundliku teabe hankimiseks.
Jälgimine haavatavate kaamerate abil
Paralleelsed uurimised on näidanud, et ka teised Iraaniga seotud ohurühmitused uurivad aktiivselt internetiühendusega jälgimisseadmeid. Üks selline tegelane, Agrius, tuntud ka varjunimede Agonizing Serpens, Marshtreader ja Pink Sandstorm all, on täheldatud haavatava videovalve infrastruktuuri otsimisel.
Teadlased dokumenteerisid Hikvisioni kaamerate ja videofonosüsteemide sihikulevõtmise katseid teadaolevate haavatavuste kaudu. Need tegevused on käimasoleva Lähis-Ida konflikti ajal intensiivistunud, eriti Iisraelis ja mitmes Pärsia lahe riigis.
Kampaania on keskendunud Dahua ja Hikvisioni valveseadmeid mõjutavate haavatavuste ärakasutamisele, sealhulgas:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Turvaanalüütikud usuvad, et sellised kompromiteeringud võivad toetada sõjalise luureandmete kogumist, sealhulgas operatiivseiret ja lahingukahjude hindamist (BDA), mis on seotud raketioperatsioonidega. Mõnel juhul võib enne rakettide laskmist toimuda kaamerate sissetungimine, et aidata sihtida või tulemusi jälgida.
Kübertegevus kui kineetiliste operatsioonide eelkäija
Jälgimisinfrastruktuuri koordineeritud sihtimine on kooskõlas pikaajaliste hinnangutega, mille kohaselt Iraani küberdoktriin integreerib digitaalse luure laiemasse sõjalisse planeerimisse. Ohustatud kaamerad suudavad pakkuda reaalajas visuaalset luuret ja olukorrateadlikkust.
Seega võib skaneerimistegevuse ja teadaolevate Iraani kübervaradega seotud kaamerainfrastruktuuri vastu suunatud ärakasutamiskatsete jälgimine olla varajaseks hoiatussignaaliks võimalike järgnevate kineetiliste operatsioonide kohta.
Kasvavad küberrünnakute riskid
Ameerika Ühendriikide, Iisraeli ja Iraani vaheline eskaleeruv konflikt on suurendanud küberrünnakute ohtu. Vastuseks kasvavale ohumaastikule on Kanada Küberjulgeoleku Keskus (CCCS) andnud välja hoiatava hoiatuse, et Iraan tõenäoliselt kasutab oma kübervõimekusi kriitilise infrastruktuuri vastu ning viib läbi mõjuvõimu- või infooperatsioone strateegiliste huvide edendamiseks.
Need arengud toovad esile küberruumi kasvava rolli paralleelse lahinguväljana geopoliitiliste konfliktide ajal, kus spionaaž, häirimine ja luureandmete kogumine kaasnevad üha enam traditsiooniliste sõjaliste tegevustega.
