Dindoor Backdoor
Grėsmių žvalgybos tyrimai atskleidė įrodymų apie Irano valstybės koordinuotą kibernetinę operaciją, kuri sėkmingai įsitvirtino kelių organizacijų tinkluose visoje Šiaurės Amerikoje. Tarp paveiktų subjektų yra bankai, oro uostai, ne pelno organizacijos ir programinės įrangos bendrovės, aptarnaujančios gynybos ir aviacijos bei kosmoso sektorius, Izraelio filialas.
Kampanija buvo priskirta „MuddyWater“, dar žinomai kaip „Seedworm“, grėsmių grupei, susijusiai su Irano žvalgybos ir saugumo ministerija (MOIS). Tyrėjai skaičiuoja, kad operacija prasidėjo 2026 m. vasario pradžioje. Su kampanija susijęs tinklo aktyvumas išryškėjo netrukus po Jungtinių Valstijų ir Izraelio įvykdytų karinių smūgių prieš Iraną, o tai rodo galimą geopolitinį kibernetinės veiklos veiksnį.
Atrodo, kad ypatingas dėmesys buvo skirtas programinės įrangos tiekėjos padaliniui Izraelyje. Bendrovė tiekia sprendimus įvairioms pramonės šakoms, įskaitant gynybos ir aviacijos bei kosmoso pramonę, todėl yra strategiškai vertingas taikinys žvalgybos rinkimui ir galimiems sutrikdymams.
Turinys
„Dindoor“: naujai identifikuota „backdoor“ technologija, išnaudojanti „Denoor“
Saugumo analitikai, tyrę įsilaužimus, nustatė anksčiau nedokumentuotų „galinių durų“, vadinamų „Dindoor“, diegimą. Kenkėjiška programa savo vykdymo aplinkoje naudoja „Deno JavaScript“ vykdymo aplinką – gana neįprastą techniką, kuri gali padėti kenkėjiškai programai išvengti aptikimo tradicinėse saugumo stebėjimo sistemose.
Atrodo, kad atakos, kuriose dalyvavo programinės įrangos tiekėjas, JAV banko įstaiga ir Kanados ne pelno organizacija, buvo šių galinių durų įdiegimo patekimo taškai.
Taip pat buvo rasta įrodymų apie bandymą išgauti duomenis. Tyrėjai pastebėjo, kad naudojant „Rclone“ programą informacija buvo perkelta iš užkrėstos programinės įrangos bendrovės aplinkos į debesies saugyklą, esančią „Wasabi“ platformoje. Analizės metu nebuvo aišku, ar duomenų išgavimo bandymas galiausiai buvo sėkmingas.
„Fakeset Backdoor“ virusas aptinkamas kituose pažeistuose tinkluose
JAV oro uosto ir kitos ne pelno siekiančios organizacijos tinkluose buvo aptiktas atskiras kenkėjiškos programos komponentas, žinomas kaip „Fakeset“, parašytas Python kalba. Šis galinis prievadas buvo išgautas iš infrastruktūros, susijusios su „Backblaze“, JAV įsikūrusia debesies saugyklos ir atsarginių kopijų teikėja.
Kenkėjiška programa buvo pasirašyta skaitmeniniu būdu naudojant sertifikatą, kuris anksčiau buvo susietas su dviem kitomis kenkėjiškų programų šeimomis – „Stagecomp“ ir „Darkcomp“, kurios abi istoriškai buvo siejamos su „MuddyWater“ operacijomis.
Grėsmių tyrėjai identifikavo kenkėjiškų programų pavyzdžius su šiais su „MuddyWater“ ekosistema susijusiais parašais:
- Trojos arklys:Python/MuddyWater.DB!MTB
Nors patys „Stagecomp“ ir „Darkcomp“ šiame tyrime nagrinėtuose užkrėstuose tinkluose nebuvo aptikti, to paties skaitmeninio sertifikato pakartotinis naudojimas aiškiai rodo, kad įsivėlė tas pats grėsmės subjektas, o tai sustiprina priskyrimą „Seedworm“.
Irano kibernetinių pajėgumų ir socialinės inžinerijos taktikos plėtra
Irano kibernetinių grėsmių veikėjai pastaraisiais metais gerokai pagerino savo operacinius pajėgumus. Jų kuriamos kenkėjiškos programos ir įrankiai tapo sudėtingesni, todėl jos leidžia slaptiau veikti ir efektyviau judėti aukų tinkluose.
Lygiai taip pat pastebimas jų į žmones orientuotų atakų strategijų išplėtimas. Irano operatoriai demonstravo vis pažangesnius socialinės inžinerijos metodus, įskaitant itin tikslines sukčiavimo kampanijas ir ilgalaikes „medaus spąstų“ operacijas, skirtas pasitikėjimui su dominančiais asmenimis užmegzti. Ši taktika dažnai naudojama norint gauti prieigą prie paskyrų arba išgauti neskelbtiną informaciją.
Stebėjimas pažeidžiamomis kameromis
Lygiagrečiai atliekami tyrimai atskleidė, kad kitos su Iranu susijusios grėsmių grupuotės aktyviai tiria prie interneto prijungtus stebėjimo įrenginius. Vienas iš tokių veikėjų, „Agrius“, dar žinomas slapyvardžiais „Agonizing Serpens“, „Marshtreader“ ir „Pink Sandstorm“, buvo pastebėtas ieškant pažeidžiamos vaizdo stebėjimo infrastruktūros.
Tyrėjai užfiksavo bandymus panaudoti „Hikvision“ kameras ir vaizdo domofonų sistemas, pasinaudojant žinomais pažeidžiamumais. Ši veikla suintensyvėjo dėl tebesitęsiančio Artimųjų Rytų konflikto, ypač Izraelyje ir keliose Persijos įlankos valstybėse.
Kampanija daugiausia dėmesio skyrė „Dahua“ ir „Hikvision“ stebėjimo įrangos pažeidžiamumų išnaudojimui, įskaitant:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Saugumo analitikai mano, kad toks informacijos nutekėjimas gali padėti rinkti karinę žvalgybą, įskaitant operatyvinį stebėjimą ir mūšio žalos vertinimą (BDA), susijusį su raketų operacijomis. Kai kuriais atvejais prieš raketų paleidimą gali būti įjungiamos kameros, siekiant padėti nustatyti taikinį arba stebėti rezultatus.
Kibernetinė veikla kaip kinetinių operacijų pirmtakas
Koordinuotas stebėjimo infrastruktūros taikinys atitinka ilgalaikius vertinimus, kad Irano kibernetinė doktrina integruoja skaitmeninę žvalgybą į platesnį karinį planavimą. Pažeistos kameros gali teikti realaus laiko vizualinę žvalgybą ir situacijos suvokimą.
Todėl skenavimo veiklos ir bandymų išnaudoti kamerų infrastruktūrą, susietą su žinomais Irano kibernetiniais ištekliais, stebėjimas gali būti ankstyvas įspėjimo signalas apie galimas tolesnes kinetines operacijas.
Didėjanti kibernetinių atsakomųjų veiksmų rizika
Eskaluojamas konfliktas tarp Jungtinių Valstijų, Izraelio ir Irano padidino kibernetinių atsakomųjų veiksmų riziką. Reaguodamas į didėjančią grėsmių aplinką, Kanados kibernetinio saugumo centras (CCCS) paskelbė patariamąjį įspėjimą, kad Iranas greičiausiai panaudos savo kibernetinius pajėgumus prieš ypatingos svarbos infrastruktūrą ir vykdys įtakos ar informacines operacijas, siekdamas strateginių interesų.
Šie pokyčiai pabrėžia didėjantį kibernetinės erdvės, kaip lygiagretaus mūšio lauko, vaidmenį geopolitinių konfliktų metu, kai šnipinėjimas, trikdymas ir žvalgybos duomenų rinkimas vis dažniau lydi tradicinius karinius veiksmus.
