Dindoor Backdoor

تحقیقات اطلاعات تهدید، شواهدی از یک عملیات سایبری وابسته به دولت ایران را کشف کرده است که با موفقیت خود را در شبکه‌های چندین سازمان در سراسر آمریکای شمالی جاسازی کرده است. نهادهای آسیب‌دیده شامل بانک‌ها، فرودگاه‌ها، سازمان‌های غیرانتفاعی و شعبه اسرائیلی یک شرکت نرم‌افزاری در خدمت بخش‌های دفاعی و هوافضا هستند.

این کمپین به MuddyWater، که با نام Seedworm نیز شناخته می‌شود، نسبت داده شده است، یک گروه تهدید مرتبط با وزارت اطلاعات و امنیت ایران (MOIS). محققان ارزیابی می‌کنند که این عملیات در اوایل فوریه ۲۰۲۶ آغاز شده است. فعالیت شبکه‌ای مرتبط با این کمپین اندکی پس از حملات نظامی ایالات متحده و اسرائیل علیه ایران ظاهر شد، که نشان می‌دهد یک محرک ژئوپلیتیکی بالقوه در پشت این فعالیت سایبری وجود دارد.

به نظر می‌رسد توجه ویژه‌ای به بخش اسرائیلی ارائه‌دهنده نرم‌افزار مورد هدف معطوف شده است. این شرکت، راهکارهایی را برای صنایع مختلف، از جمله دفاع و هوافضا، ارائه می‌دهد و آن را به یک هدف استراتژیک ارزشمند برای جمع‌آوری اطلاعات و ایجاد اختلال بالقوه تبدیل می‌کند.

دیندور: یک در پشتی تازه شناسایی شده که از Deno استفاده می‌کند

تحلیلگران امنیتی که این نفوذها را بررسی کردند، استقرار یک درِ پشتیِ قبلاً مستند نشده به نام Dindoor را شناسایی کردند. این بدافزار از زمان اجرای جاوا اسکریپت Deno به عنوان بخشی از محیط اجرای خود استفاده می‌کند، روشی نسبتاً غیرمعمول که ممکن است به بدافزار کمک کند تا از شناسایی در سیستم‌های نظارت امنیتی سنتی فرار کند.

به نظر می‌رسد حملاتی که فروشنده نرم‌افزار، یک موسسه بانکی آمریکایی و یک سازمان غیرانتفاعی کانادایی را درگیر کرده، به عنوان نقاط ورودی برای نصب این درب پشتی عمل کرده‌اند.

شواهدی از تلاش برای استخراج داده‌ها نیز شناسایی شد. محققان استفاده از ابزار Rclone را برای انتقال اطلاعات از محیط شرکت نرم‌افزاری آسیب‌دیده به یک مخزن ذخیره‌سازی ابری که در Wasabi میزبانی می‌شود، مشاهده کردند. در زمان تجزیه و تحلیل، هنوز مشخص نیست که آیا تلاش برای استخراج داده‌ها در نهایت موفقیت‌آمیز بوده است یا خیر.

درب پشتی جعلی (Fakeset Backdoor) در شبکه‌های آسیب‌پذیر دیگری ظاهر می‌شود

یک بدافزار جداگانه به نام Fakeset که با زبان پایتون نوشته شده است، در شبکه‌های یک فرودگاه آمریکایی و یک سازمان غیرانتفاعی دیگر شناسایی شد. این درِ پشتی از زیرساخت‌های مرتبط با Backblaze، یک ارائه‌دهنده‌ی فضای ذخیره‌سازی ابری و پشتیبان‌گیری مستقر در ایالات متحده، بازیابی شد.

این بدافزار مخرب با استفاده از گواهی‌نامه‌ای که قبلاً به دو خانواده بدافزار دیگر، Stagecomp و Darkcomp، که هر دو از نظر تاریخی با عملیات MuddyWater مرتبط بوده‌اند، مرتبط شده بود، به صورت دیجیتالی امضا شده بود.

محققان تهدیدات سایبری، نمونه‌های بدافزاری را شناسایی کرده‌اند که امضاهای زیر را دارند و به اکوسیستم MuddyWater مرتبط هستند:

• تروجان:Python/MuddyWater.DB!MTB
• درب پشتی.Python.MuddyWater.a

اگرچه خود Stagecomp و Darkcomp در شبکه‌های آسیب‌دیده‌ای که در این تحقیق بررسی شدند، کشف نشدند، اما استفاده مجدد از همان گواهی دیجیتال، قویاً نشان‌دهنده‌ی دخالت همان عامل تهدید است و انتساب آن به Seedworm را تقویت می‌کند.

گسترش قابلیت‌های سایبری ایران و تاکتیک‌های مهندسی اجتماعی

عوامل تهدید سایبری ایران در سال‌های اخیر قابلیت‌های عملیاتی خود را به طور قابل توجهی بهبود بخشیده‌اند. توسعه و ابزار بدافزار آنها پیچیده‌تر شده و امکان ماندگاری مخفیانه‌تر و تحرک جانبی مؤثرتر در شبکه‌های قربانی را فراهم کرده است.

به همان اندازه قابل توجه، گسترش استراتژی‌های حمله متمرکز بر انسان آنهاست. اپراتورهای ایرانی روش‌های مهندسی اجتماعی پیشرفته‌ای را به نمایش گذاشته‌اند، از جمله کمپین‌های فیشینگ هدفمند و عملیات‌های بلندمدت «تله عسل» که برای ایجاد اعتماد با افراد مورد نظر طراحی شده‌اند. این تاکتیک‌ها اغلب برای دسترسی به حساب یا استخراج اطلاعات حساس استفاده می‌شوند.

نظارت از طریق دوربین‌های آسیب‌پذیر

تحقیقات موازی نشان داده است که سایر گروه‌های تهدید مرتبط با ایران به طور فعال در حال بررسی دستگاه‌های نظارتی متصل به اینترنت هستند. یکی از این عوامل، Agrius، که با نام‌های مستعار Agonizing Serpens، Marshtreader و Pink Sandstorm نیز شناخته می‌شود، در حال اسکن زیرساخت‌های آسیب‌پذیر نظارت تصویری مشاهده شده است.

محققان تلاش‌هایی را برای سوءاستفاده از دوربین‌ها و سیستم‌های آیفون تصویری هایک‌ویژن از طریق آسیب‌پذیری‌های شناخته‌شده مستند کرده‌اند. این فعالیت‌ها در بحبوحه درگیری‌های جاری خاورمیانه، به‌ویژه در اسرائیل و چندین کشور حوزه خلیج‌فارس، تشدید شده‌اند.

این کمپین بر سوءاستفاده از آسیب‌پذیری‌های مؤثر بر تجهیزات نظارتی داهوا و هایک‌ویژن، از جمله موارد زیر، متمرکز بوده است:

• CVE-2017-7921
• CVE-2023-6895
• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

تحلیلگران امنیتی معتقدند که چنین نفوذهایی ممکن است از جمع‌آوری اطلاعات نظامی، از جمله نظارت عملیاتی و ارزیابی خسارات نبرد (BDA) مربوط به عملیات موشکی، پشتیبانی کند. در برخی موارد، ممکن است قبل از پرتاب موشک، نفوذ به دوربین‌ها برای کمک به هدف‌گیری یا نظارت بر نتایج انجام شود.

فعالیت سایبری به عنوان پیش درآمدی بر عملیات جنبشی

هدف قرار دادن هماهنگ زیرساخت‌های نظارتی با ارزیابی‌های دیرینه مبنی بر اینکه دکترین سایبری ایران، شناسایی دیجیتال را در برنامه‌ریزی نظامی گسترده‌تر ادغام می‌کند، همسو است. دوربین‌های آسیب‌دیده می‌توانند اطلاعات بصری و آگاهی موقعیتی را در زمان واقعی ارائه دهند.

در نتیجه، نظارت بر فعالیت‌های اسکن و تلاش‌های سوءاستفاده علیه زیرساخت‌های دوربین مرتبط با دارایی‌های سایبری شناخته‌شده ایران می‌تواند به عنوان یک سیگنال هشدار اولیه برای عملیات‌های جنبشی احتمالی بعدی عمل کند.

افزایش خطرات تلافی‌جویی سایبری

تشدید درگیری بین ایالات متحده، اسرائیل و ایران، خطر انتقام سایبری را افزایش داده است. در پاسخ به چشم‌انداز رو به رشد تهدید، مرکز امنیت سایبری کانادا (CCCS) هشداری صادر کرده است مبنی بر اینکه ایران احتمالاً از قابلیت‌های سایبری خود علیه زیرساخت‌های حیاتی استفاده می‌کند و برای پیشبرد منافع استراتژیک، عملیات نفوذ یا اطلاعاتی انجام می‌دهد.

این تحولات، نقش رو به گسترش فضای مجازی را به عنوان یک میدان نبرد موازی در طول درگیری‌های ژئوپلیتیکی برجسته می‌کند، جایی که جاسوسی، اختلال و جمع‌آوری اطلاعات به طور فزاینده‌ای با اقدامات نظامی سنتی همراه می‌شود.