Dindoor stražnja vrata
Istraživanje obavještajnih podataka o prijetnjama otkrilo je dokaze o iranskoj državnoj kibernetičkoj operaciji koja se uspješno ugradila u mreže nekoliko organizacija diljem Sjeverne Amerike. Pogođeni subjekti uključuju banke, zračne luke, neprofitne organizacije i izraelsku podružnicu softverske tvrtke koja opslužuje obrambeni i zrakoplovni sektor.
Kampanja se pripisuje MuddyWateru, poznatom i kao Seedworm, skupini za prijetnje povezanoj s iranskim Ministarstvom obavještajnih poslova i sigurnosti (MOIS). Istražitelji procjenjuju da je operacija započela početkom veljače 2026. Mrežna aktivnost povezana s kampanjom pojavila se ubrzo nakon vojnih udara Sjedinjenih Država i Izraela na Iran, što sugerira potencijalni geopolitički okidač iza kibernetičke aktivnosti.
Čini se da je posebna pozornost usmjerena na izraelsku podružnicu ciljanog dobavljača softvera. Tvrtka isporučuje rješenja za više industrija, uključujući obranu i zrakoplovstvo, što je čini strateški vrijednom metom za prikupljanje obavještajnih podataka i potencijalne poremećaje.
Sadržaj
Dindoor: Novootkriveni backdoor koji iskorištava Deno
Sigurnosni analitičari koji su ispitivali upade identificirali su postavljanje prethodno nedokumentiranog backdoora pod nazivom Dindoor. Zlonamjerni softver koristi Deno JavaScript runtime kao dio svog izvršnog okruženja, relativno neuobičajenu tehniku koja bi mogla pomoći zlonamjernom softveru da izbjegne otkrivanje u tradicionalnim sustavima za sigurnosni nadzor.
Čini se da su napadi u koje su bili uključeni dobavljač softvera, američka bankarska institucija i kanadska neprofitna organizacija poslužili kao ulazne točke za instaliranje ovog backdoora.
Također su pronađeni dokazi o pokušaju krađe podataka. Istražitelji su primijetili korištenje uslužnog programa Rclone za prijenos informacija iz okruženja kompromitirane softverske tvrtke u spremnik za pohranu u oblaku koji se nalazi na Wasabiju. U vrijeme analize nije bilo jasno je li pokušaj krađe podataka na kraju bio uspješan.
Lažni stražnji ulaz pojavljuje se u dodatnim kompromitiranim mrežama
Zasebna komponenta zlonamjernog softvera poznata kao Fakeset, napisana u Pythonu, otkrivena je u mrežama američke zračne luke i druge neprofitne organizacije. Ovaj backdoor je preuzet iz infrastrukture povezane s Backblazeom, američkim pružateljem usluga pohrane i sigurnosne kopije u oblaku.
Zlonamjerni teret digitalno je potpisan certifikatom koji je prethodno povezan s dvije druge obitelji zlonamjernog softvera, Stagecomp i Darkcomp, koje su obje povijesno povezane s MuddyWater operacijama.
Istraživači prijetnji identificirali su uzorke zlonamjernog softvera sa sljedećim potpisima povezanim s ekosustavom MuddyWater:
- Trojanac:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Iako sami Stagecomp i Darkcomp nisu otkriveni na kompromitiranim mrežama ispitanim u ovoj istrazi, ponovna upotreba istog digitalnog certifikata snažno sugerira sudjelovanje istog akter prijetnje, što pojačava pripisivanje Seedworm-u.
Proširenje iranskih kibernetičkih sposobnosti i taktika socijalnog inženjeringa
Iranski akteri kibernetičkih prijetnji značajno su poboljšali svoje operativne sposobnosti posljednjih godina. Razvoj i alati njihovog zlonamjernog softvera postali su sofisticiraniji, omogućujući prikriveniju upornost i učinkovitije lateralno kretanje unutar mreža žrtava.
Jednako je značajno širenje njihovih strategija napada usmjerenih na ljude. Iranski operateri demonstrirali su sve naprednije metode društvenog inženjeringa, uključujući visoko ciljane spear-phishing kampanje i dugoročne operacije "medene zamke" osmišljene za izgradnju povjerenja s pojedincima od interesa. Ove se taktike često koriste za dobivanje pristupa računu ili izvlačenje osjetljivih informacija.
Nadzor putem ranjivih kamera
Paralelne istrage otkrile su da druge prijeteće skupine povezane s Iranom aktivno istražuju uređaje za nadzor povezane s internetom. Jedan takav akter, Agrius, poznat i pod pseudonimima Agonizing Serpens, Marshtreader i Pink Sandstorm, viđen je kako skenira ranjivu infrastrukturu za video nadzor.
Istraživači su dokumentirali pokušaje iskorištavanja usmjerenih na Hikvision kamere i video interfonske sustave putem poznatih ranjivosti. Ove su se aktivnosti intenzivirale usred tekućeg sukoba na Bliskom istoku, posebno u Izraelu i nekoliko zaljevskih država.
Kampanja se usredotočila na iskorištavanje ranjivosti koje utječu na nadzornu opremu tvrtki Dahua i Hikvision, uključujući:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Sigurnosni analitičari vjeruju da takvi kompromisi mogu podržati prikupljanje vojnih obavještajnih podataka, uključujući operativni nadzor i procjenu štete u borbi (BDA) povezanu s raketnim operacijama. U nekim slučajevima, upadi kamera mogu se dogoditi prije lansiranja raketa kako bi se pomoglo u ciljanju ili praćenju ishoda.
Kibernetička aktivnost kao preteča kinetičkih operacija
Koordinirano ciljanje nadzorne infrastrukture u skladu je s dugogodišnjim procjenama da iranska kibernetička doktrina integrira digitalno izviđanje u šire vojno planiranje. Ugrožene kamere mogu pružiti vizualnu inteligenciju u stvarnom vremenu i situacijsku svjesnost.
Posljedično, praćenje aktivnosti skeniranja i pokušaja iskorištavanja infrastrukture kamera povezanih s poznatim iranskim kibernetičkim resursima može poslužiti kao rani signal upozorenja za potencijalne daljnje kinetičke operacije.
Rastući rizici kibernetičke odmazde
Eskalacija sukoba između Sjedinjenih Američkih Država, Izraela i Irana povećala je rizik od kibernetičke odmazde. Kao odgovor na rastuće prijetnje, Kanadski centar za kibernetičku sigurnost (CCCS) izdao je savjetodavno upozorenje da će Iran vjerojatno iskoristiti svoje kibernetičke sposobnosti protiv kritične infrastrukture i provoditi utjecajne ili informacijske operacije kako bi unaprijedio strateške interese.
Ovi događaji naglašavaju rastuću ulogu kibernetičkog prostora kao paralelnog bojnog polja tijekom geopolitičkih sukoba, gdje špijunaža, poremećaji i prikupljanje obavještajnih podataka sve više prate tradicionalne vojne akcije.
