Dindoor Backdoor
Draudu izlūkošanas pētījumi ir atklājuši pierādījumus par Irānas valsts saskaņotu kiberoperāciju, kas veiksmīgi iekļāvās vairāku organizāciju tīklos visā Ziemeļamerikā. Starp skartajām struktūrām ir bankas, lidostas, bezpeļņas organizācijas un programmatūras uzņēmuma Izraēlas filiāle, kas apkalpo aizsardzības un kosmosa nozares.
Kampaņa tiek attiecināta uz MuddyWater, kas pazīstama arī kā Seedworm, draudu grupu, kas saistīta ar Irānas Izlūkošanas un drošības ministriju (MOIS). Izmeklētāji lēš, ka operācija sākās 2026. gada februāra sākumā. Ar kampaņu saistītā tīkla aktivitāte parādījās neilgi pēc ASV un Izraēlas veiktajiem militārajiem triecieniem pret Irānu, kas liecina par iespējamu ģeopolitisku kiberaktivitātes ierosinātāju.
Īpaša uzmanība, šķiet, ir pievērsta mērķa programmatūras nodrošinātāja Izraēlas nodaļai. Uzņēmums piegādā risinājumus vairākām nozarēm, tostarp aizsardzības un kosmosa rūpniecībai, padarot to par stratēģiski vērtīgu mērķi izlūkdienestu vākšanai un potenciāliem darbības traucējumiem.
Satura rādītājs
Dindoor: jaunatklāta aizmugures durvju tehnoloģija, kas izmanto Deno
Drošības analītiķi, kas pārbaudīja ielaušanās, atklāja iepriekš nedokumentētas aizmugurējās durvis ar nosaukumu Dindoor. Ļaunprogrammatūra kā daļu no savas izpildes vides izmanto Deno JavaScript izpildlaiku, kas ir samērā neparasta metode, kas var palīdzēt ļaunprogrammatūrai izvairīties no atklāšanas tradicionālajās drošības uzraudzības sistēmās.
Uzbrukumi, kuros bija iesaistīts programmatūras pārdevējs, ASV banku iestāde un Kanādas bezpeļņas organizācija, šķiet, kalpoja par ieejas punktiem šīs aizmugurējās durvis uzstādīšanai.
Tika konstatēti arī pierādījumi par datu eksfiltrācijas mēģinājumu. Izmeklētāji novēroja utilītprogrammas Rclone izmantošanu, lai pārsūtītu informāciju no kompromitētās programmatūras uzņēmuma vides uz mākoņkrātuves konteineru, kas tika mitināts Wasabi. Analīzes laikā joprojām nebija skaidrs, vai datu eksfiltrācijas mēģinājums galu galā bija veiksmīgs.
Fakeset Backdoor parādās papildu apdraudētos tīklos
ASV lidostas un citas bezpeļņas organizācijas tīklos tika atklāta atsevišķa ļaunprogrammatūras komponente, kas pazīstama kā Fakeset un rakstīta Python valodā. Šīs aizmugurējās durvis tika izgūtas no infrastruktūras, kas saistīta ar Backblaze, ASV bāzētu mākoņkrātuves un dublēšanas pakalpojumu sniedzēju.
Ļaunprātīgā vērtuma dati tika digitāli parakstīti, izmantojot sertifikātu, kas iepriekš ir saistīts ar divām citām ļaunprogrammatūru saimēm — Stagecomp un Darkcomp, kuras abas vēsturiski ir saistītas ar MuddyWater darbībām.
Draudu pētnieki ir identificējuši ļaunprogrammatūras paraugus ar šādiem parakstiem, kas saistīti ar MuddyWater ekosistēmu:
- Trojas zirgs:Python/MuddyWater.DB!MTB
Lai gan Stagecomp un Darkcomp paši netika atklāti šajā izmeklēšanā pārbaudītajos apdraudētajos tīklos, viena un tā paša digitālā sertifikāta atkārtota izmantošana spēcīgi norāda uz viena un tā paša apdraudējuma izpildītāja iesaisti, pastiprinot Seedworm attiecināšanu.
Irānas kiberspēju un sociālās inženierijas taktikas paplašināšana
Irānas kiberdraudu veidotāji pēdējos gados ir ievērojami uzlabojuši savas operatīvās spējas. Viņu ļaunprogrammatūras izstrāde un rīki ir kļuvuši sarežģītāki, nodrošinot neuzkrītošāku noturību un efektīvāku sānu pārvietošanos upuru tīklos.
Tikpat ievērojama ir viņu uz cilvēkiem vērsto uzbrukumu stratēģiju paplašināšanās. Irānas operatori ir demonstrējuši arvien progresīvākas sociālās inženierijas metodes, tostarp ļoti mērķtiecīgas mērķtiecīgas pikšķerēšanas kampaņas un ilgtermiņa "medus slazdu" operācijas, kuru mērķis ir veidot uzticību ar interesējošām personām. Šīs taktikas bieži tiek izmantotas, lai iegūtu piekļuvi kontiem vai iegūtu sensitīvu informāciju.
Novērošana ar neaizsargātu kameru palīdzību
Paralēlas izmeklēšanas ir atklājušas, ka citas ar Irānu saistītas apdraudējumu grupas aktīvi pārbauda ar internetu savienotas novērošanas ierīces. Viens no šādiem dalībniekiem, Agrius, kas pazīstams arī ar pseidonīmiem Agonizing Serpens, Marshtreader un Pink Sandstorm, ir novērots skenējot neaizsargātu videonovērošanas infrastruktūru.
Pētnieki dokumentēja mēģinājumus izmantot Hikvision kameras un video domofonu sistēmas, izmantojot zināmas ievainojamības. Šīs aktivitātes ir pastiprinājušās Tuvo Austrumu konflikta laikā, īpaši Izraēlā un vairākās Persijas līča valstīs.
Kampaņa ir koncentrējusies uz Dahua un Hikvision novērošanas iekārtu ievainojamību izmantošanu, tostarp:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Drošības analītiķi uzskata, ka šādi kompromisi varētu atbalstīt militārās izlūkošanas informācijas vākšanu, tostarp operatīvo uzraudzību un kaujas postījumu novērtēšanu (BDA), kas saistīta ar raķešu operācijām. Dažos gadījumos pirms raķešu palaišanas var notikt kameru ielaušanās, lai palīdzētu noteikt mērķi vai uzraudzīt rezultātus.
Kiberaktivitāte kā kinētisko operāciju priekštecis
Koordinētā novērošanas infrastruktūras mērķēšana atbilst ilgstošiem novērtējumiem, ka Irānas kiberdoktrīna integrē digitālo izlūkošanu plašākā militārajā plānošanā. Apdraudētas kameras var nodrošināt reāllaika vizuālo izlūkošanu un situācijas izpratni.
Līdz ar to skenēšanas darbību un izmantošanas mēģinājumu uzraudzība pret kameru infrastruktūru, kas saistīta ar zināmiem Irānas kiberdrošības aktīviem, var kalpot kā agrīns brīdinājuma signāls iespējamām turpmākām kinētiskām operācijām.
Pieaugošie kiberatriebības riski
Pieaugošais konflikts starp Amerikas Savienotajām Valstīm, Izraēlu un Irānu ir palielinājis kiberatriebības risku. Reaģējot uz pieaugošo apdraudējumu ainavu, Kanādas Kiberdrošības centrs (CCCS) ir izdevis brīdinājumu, ka Irāna, visticamāk, izmantos savas kiberspējas pret kritisko infrastruktūru un veiks ietekmes vai informācijas operācijas, lai īstenotu stratēģiskās intereses.
Šīs norises izceļ kibertelpas pieaugošo lomu kā paralēlu kaujas lauku ģeopolitisko konfliktu laikā, kur spiegošana, darbības traucējumi un izlūkdatu vākšana arvien vairāk pavada tradicionālās militārās darbības.
