Pintu Belakang Dindoor
Kajian risikan ancaman telah menemui bukti operasi siber sejajar negara Iran yang berjaya membenamkan dirinya dalam rangkaian beberapa organisasi di seluruh Amerika Utara. Entiti yang terjejas termasuk bank, lapangan terbang, organisasi bukan untung dan cawangan Israel bagi sebuah syarikat perisian yang berkhidmat untuk sektor pertahanan dan aeroangkasa.
Kempen itu dikaitkan dengan MuddyWater, juga dikenali sebagai Seedworm, sebuah kumpulan ancaman yang berkaitan dengan Kementerian Perisikan dan Keselamatan Iran (MOIS). Penyiasat menilai bahawa operasi itu bermula pada awal Februari 2026. Aktiviti rangkaian yang dikaitkan dengan kempen itu muncul sejurus selepas serangan ketenteraan yang dijalankan oleh Amerika Syarikat dan Israel terhadap Iran, menunjukkan potensi pencetus geopolitik di sebalik aktiviti siber tersebut.
Perhatian khusus nampaknya telah ditujukan kepada bahagian Israel bagi penyedia perisian yang disasarkan. Syarikat itu membekalkan penyelesaian kepada pelbagai industri, termasuk pertahanan dan aeroangkasa, menjadikannya sasaran yang berharga secara strategik untuk pengumpulan risikan dan potensi gangguan.
Isi kandungan
Dindoor: Deno Penguatkuasaan Pintu Belakang yang Baru Dikenal Pasti
Penganalisis keselamatan yang memeriksa pencerobohan tersebut mengenal pasti penggunaan pintu belakang yang sebelum ini tidak didokumenkan yang dipanggil Dindoor. Perisian hasad ini menggunakan masa jalan Deno JavaScript sebagai sebahagian daripada persekitaran pelaksanaannya, satu teknik yang agak luar biasa yang boleh membantu perisian hasad mengelak pengesanan dalam sistem pemantauan keselamatan tradisional.
Serangan yang melibatkan vendor perisian, sebuah institusi perbankan AS dan sebuah organisasi bukan untung Kanada nampaknya telah berfungsi sebagai pintu masuk untuk memasang pintu belakang ini.
Bukti percubaan pengekstrakan data juga dikenal pasti. Penyiasat memerhatikan penggunaan utiliti Rclone untuk memindahkan maklumat daripada persekitaran syarikat perisian yang dikompromi ke baldi storan awan yang dihoskan di Wasabi. Pada masa analisis, masih tidak jelas sama ada percubaan pengekstrakan data itu akhirnya berjaya.
Fakeset Backdoor Muncul dalam Rangkaian Tambahan yang Dikompromi
Komponen perisian hasad berasingan yang dikenali sebagai Fakeset, yang ditulis dalam Python, telah dikesan dalam rangkaian lapangan terbang AS dan sebuah lagi organisasi bukan untung. Pintu belakang ini diambil daripada infrastruktur yang berkaitan dengan Backblaze, penyedia storan awan dan sandaran yang berpangkalan di AS.
Muatan berniat jahat itu telah ditandatangani secara digital menggunakan sijil yang sebelum ini telah dikaitkan dengan dua keluarga perisian hasad lain, Stagecomp dan Darkcomp, kedua-duanya secara sejarahnya dikaitkan dengan operasi MuddyWater.
Penyelidik ancaman telah mengenal pasti sampel perisian hasad yang mempunyai tandatangan berikut yang berkaitan dengan ekosistem MuddyWater:
- Trojan:Python/MuddyWater.DB!MTB
- Pintu Belakang.Python.MuddyWater.a
Walaupun Stagecomp dan Darkcomp sendiri tidak ditemui pada rangkaian yang diceroboh yang diperiksa dalam siasatan ini, penggunaan semula sijil digital yang sama sangat mencadangkan penglibatan oleh pelaku ancaman yang sama, mengukuhkan atribusi kepada Seedworm.
Memperluas Keupayaan Siber Iran dan Taktik Kejuruteraan Sosial
Pelakon ancaman siber Iran telah meningkatkan keupayaan operasi mereka dengan ketara dalam beberapa tahun kebelakangan ini. Pembangunan dan perkakasan perisian hasad mereka telah berkembang dengan lebih canggih, membolehkan kegigihan yang lebih tersembunyi dan pergerakan lateral yang lebih berkesan di dalam rangkaian mangsa.
Sama pentingnya ialah pengembangan strategi serangan berfokuskan manusia mereka. Pengendali Iran telah menunjukkan kaedah kejuruteraan sosial yang semakin maju, termasuk kempen spear-phishing yang sangat disasarkan dan operasi 'honeytrap' jangka panjang yang direka untuk membina kepercayaan dengan individu yang berkepentingan. Taktik ini kerap digunakan untuk mendapatkan akses akaun atau mengekstrak maklumat sensitif.
Pengawasan Melalui Kamera Rentan
Siasatan selari telah mendedahkan bahawa kumpulan ancaman lain yang berkaitan dengan Iran sedang giat menyiasat peranti pengawasan yang disambungkan ke internet. Salah seorang pelaku tersebut, Agrius, yang juga dikenali dengan alias Agonizing Serpens, Marshtreader dan Pink Sandstorm, telah diperhatikan sedang mengimbas infrastruktur pengawasan video yang terdedah.
Para penyelidik mendokumentasikan percubaan eksploitasi yang menyasarkan kamera Hikvision dan sistem interkom video melalui kelemahan yang diketahui. Aktiviti-aktiviti ini telah dipergiat di tengah-tengah konflik Timur Tengah yang sedang berlangsung, terutamanya di Israel dan beberapa negara Teluk.
Kempen ini telah memberi tumpuan kepada mengeksploitasi kelemahan yang menjejaskan peralatan pengawasan daripada Dahua dan Hikvision, termasuk:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Penganalisis keselamatan percaya kompromi sedemikian mungkin menyokong pengumpulan risikan tentera, termasuk pengawasan operasi dan penilaian kerosakan pertempuran (BDA) yang berkaitan dengan operasi peluru berpandu. Dalam beberapa kes, pencerobohan kamera mungkin berlaku sebelum pelancaran peluru berpandu untuk membantu menyasarkan atau memantau hasil.
Aktiviti Siber sebagai Pelopor kepada Operasi Kinetik
Penyasaran infrastruktur pengawasan yang diselaraskan sejajar dengan penilaian lama bahawa doktrin siber Iran mengintegrasikan peninjauan digital ke dalam perancangan ketenteraan yang lebih luas. Kamera yang dikompromi boleh memberikan kecerdasan visual masa nyata dan kesedaran situasi.
Akibatnya, pemantauan aktiviti pengimbasan dan percubaan eksploitasi terhadap infrastruktur kamera yang dikaitkan dengan aset siber Iran yang diketahui boleh berfungsi sebagai isyarat amaran awal untuk potensi operasi kinetik susulan.
Risiko Pembalasan Siber yang Meningkat
Konflik yang semakin meningkat yang melibatkan Amerika Syarikat, Israel dan Iran telah meningkatkan risiko tindakan balas siber. Sebagai tindak balas terhadap landskap ancaman yang semakin meningkat, Pusat Keselamatan Siber Kanada (CCCS) telah mengeluarkan amaran nasihat bahawa Iran berkemungkinan akan memanfaatkan keupayaan sibernya terhadap infrastruktur kritikal dan menjalankan operasi pengaruh atau maklumat untuk memajukan kepentingan strategik.
Perkembangan ini menonjolkan peranan ruang siber yang semakin berkembang sebagai medan perang selari semasa konflik geopolitik, di mana pengintipan, gangguan dan pengumpulan risikan semakin mengiringi tindakan ketenteraan tradisional.
