Dindoor ब्याकडोर
खतरा गुप्तचर अनुसन्धानले इरानी राज्य-पङ्क्तिबद्ध साइबर अपरेशनको प्रमाण पत्ता लगाएको छ जसले उत्तर अमेरिकाभरि धेरै संस्थाहरूको नेटवर्क भित्र सफलतापूर्वक आफूलाई एम्बेड गरेको छ। प्रभावित संस्थाहरूमा बैंक, विमानस्थल, गैर-नाफामुखी संस्थाहरू, र रक्षा र एयरोस्पेस क्षेत्रहरूमा सेवा गर्ने सफ्टवेयर कम्पनीको इजरायली शाखा समावेश छन्।
यो अभियानको जिम्मेवारी मड्डीवाटरलाई दिइएको छ, जसलाई सिडवर्म पनि भनिन्छ, यो इरानको गुप्तचर तथा सुरक्षा मन्त्रालय (MOIS) सँग सम्बन्धित खतरा समूह हो। अनुसन्धानकर्ताहरूले यो अपरेशन फेब्रुअरी २०२६ को सुरुमा सुरु भएको अनुमान गरेका छन्। संयुक्त राज्य अमेरिका र इजरायलले इरान विरुद्ध गरेको सैन्य हमलाको केही समयपछि अभियानसँग जोडिएको नेटवर्क गतिविधि देखा पर्यो, जसले साइबर गतिविधि पछाडि सम्भावित भूराजनीतिक ट्रिगरको सुझाव दिन्छ।
लक्षित सफ्टवेयर प्रदायकको इजरायली डिभिजनमा विशेष ध्यान केन्द्रित गरिएको देखिन्छ। कम्पनीले रक्षा र एयरोस्पेस सहित धेरै उद्योगहरूलाई समाधानहरू आपूर्ति गर्दछ, जसले गर्दा यो गुप्तचर सङ्कलन र सम्भावित अवरोधको लागि रणनीतिक रूपमा मूल्यवान लक्ष्य हो।
सामग्रीको तालिका
डिन्डुर: नयाँ पहिचान गरिएको ब्याकडोर लेभरेजिङ डेनो
घुसपैठको जाँच गर्ने सुरक्षा विश्लेषकहरूले डिन्डुर भनिने पहिले कागजात नगरिएको ब्याकडोरको तैनाती पहिचान गरे। मालवेयरले यसको कार्यान्वयन वातावरणको भागको रूपमा डेनो जाभास्क्रिप्ट रनटाइम प्रयोग गर्दछ, एक अपेक्षाकृत असामान्य प्रविधि जसले परम्परागत सुरक्षा निगरानी प्रणालीहरूमा मालवेयरलाई पत्ता लगाउनबाट बच्न मद्दत गर्न सक्छ।
सफ्टवेयर विक्रेता, एक अमेरिकी बैंकिङ संस्था, र एक क्यानेडियन गैर-नाफामुखी संस्था संलग्न आक्रमणहरूले यो ब्याकडोर स्थापना गर्न प्रवेश बिन्दुको रूपमा काम गरेको देखिन्छ।
डेटा एक्सफिल्टरेशन प्रयासको प्रमाण पनि पहिचान गरिएको थियो। अनुसन्धानकर्ताहरूले सम्झौता गरिएको सफ्टवेयर कम्पनीको वातावरणबाट वासाबीमा होस्ट गरिएको क्लाउड भण्डारण बकेटमा जानकारी स्थानान्तरण गर्न Rclone उपयोगिताको प्रयोग अवलोकन गरे। विश्लेषणको समयमा, डेटा एक्सफिल्टरेशन प्रयास अन्ततः सफल भयो कि भएन भन्ने कुरा स्पष्ट थिएन।
थप सम्झौता गरिएका नेटवर्कहरूमा फेकसेट ब्याकडोर देखा पर्दछ
पाइथनमा लेखिएको फेकसेट भनेर चिनिने छुट्टै मालवेयर कम्पोनेन्ट अमेरिकी विमानस्थल र अर्को गैर-नाफामुखी संस्थाको नेटवर्क भित्र पत्ता लागेको थियो। यो ब्याकडोर अमेरिकामा आधारित क्लाउड भण्डारण र ब्याकअप प्रदायक ब्याकब्लेजसँग सम्बन्धित पूर्वाधारबाट प्राप्त गरिएको थियो।
मालिसियस पेलोडलाई पहिले दुई अन्य मालवेयर परिवारहरू, स्टेजकम्प र डार्ककम्पसँग जोडिएको प्रमाणपत्र प्रयोग गरेर डिजिटल रूपमा हस्ताक्षर गरिएको थियो, जुन दुवै ऐतिहासिक रूपमा मड्डीवाटर सञ्चालनसँग सम्बन्धित छन्।
खतरा अनुसन्धानकर्ताहरूले MuddyWater इकोसिस्टमसँग सम्बन्धित निम्न हस्ताक्षरहरू भएका मालवेयर नमूनाहरू पहिचान गरेका छन्:
- ट्रोजन: पाइथन/मड्डीवाटर.डीबी!एमटीबी
- पछाडिको ढोका।पाइथन।हिलो पानी।ए
यद्यपि यस अनुसन्धानमा जाँच गरिएका सम्झौता गरिएका नेटवर्कहरूमा स्टेजकम्प र डार्ककम्प आफैं फेला परेनन्, उही डिजिटल प्रमाणपत्रको पुन: प्रयोगले उही खतरा अभिनेताको संलग्नतालाई जोड दिन्छ, जसले सिडवर्मलाई श्रेय दिन्छ।
इरानी साइबर क्षमताहरू र सामाजिक इन्जिनियरिङ रणनीतिहरूको विस्तार
इरानी साइबर खतरा कारकहरूले हालैका वर्षहरूमा आफ्नो सञ्चालन क्षमताहरूमा उल्लेखनीय सुधार गरेका छन्। तिनीहरूको मालवेयर विकास र उपकरणहरू अझ परिष्कृत भएका छन्, जसले गर्दा पीडित नेटवर्कहरू भित्र लुकेर दृढता र प्रभावकारी पार्श्व आन्दोलन सक्षम भएको छ।
उनीहरूको मानव-केन्द्रित आक्रमण रणनीतिहरूको विस्तार पनि उत्तिकै उल्लेखनीय छ। इरानी अपरेटरहरूले बढ्दो रूपमा उन्नत सामाजिक इन्जिनियरिङ विधिहरू प्रदर्शन गरेका छन्, जसमा अत्यधिक लक्षित भाला-फिसिङ अभियानहरू र चासो भएका व्यक्तिहरूसँग विश्वास निर्माण गर्न डिजाइन गरिएको दीर्घकालीन 'हनीट्र्याप' अपरेशनहरू समावेश छन्। यी रणनीतिहरू प्रायः खाता पहुँच प्राप्त गर्न वा संवेदनशील जानकारी निकाल्न प्रयोग गरिन्छ।
कमजोर क्यामेराहरू मार्फत निगरानी
समानान्तर अनुसन्धानहरूले पत्ता लगाएका छन् कि अन्य इरान-सम्बन्धित खतरा समूहहरूले इन्टरनेट-जडित निगरानी उपकरणहरूको सक्रिय रूपमा अनुसन्धान गरिरहेका छन्। यस्तै एक अभिनेता, एग्रियस, जसलाई एगोनाइजिंग सर्पेन्स, मार्शट्रेडर र पिंक स्यान्डस्टर्म उपनामहरूले पनि चिनिन्छ, कमजोर भिडियो निगरानी पूर्वाधारको लागि स्क्यानिङ गरिरहेको अवलोकन गरिएको छ।
अनुसन्धानकर्ताहरूले ज्ञात कमजोरीहरू मार्फत हिकभिजन क्यामेरा र भिडियो इन्टरकम प्रणालीहरूलाई लक्षित गरी शोषण प्रयासहरू दस्तावेजीकरण गरेका छन्। यी गतिविधिहरू मध्य पूर्वमा चलिरहेको द्वन्द्वको बीचमा, विशेष गरी इजरायल र धेरै खाडी राज्यहरूमा तीव्र भएका छन्।
अभियानले दाहुआ र हिकभिजनबाट निगरानी उपकरणहरूलाई असर गर्ने कमजोरीहरूको शोषणमा केन्द्रित छ, जसमा समावेश छन्:
- CVE-२०१७-७९२१ को लागि सोधपुछ पेश गर्नुहोस्, हामी तपाईंलाई 24 घण्टामा सम्पर्क गर्नेछौं।
- हामीसँग अहिले स्टकमा CVE-2023-6895 को 250 टुक्राहरू उपलब्ध छन्।
- हामीसँग अहिले स्टकमा CVE-2021-36260 को 250 टुक्राहरू उपलब्ध छन्।
- हामीसँग अहिले स्टकमा CVE-2025-34067 को 250 टुक्राहरू उपलब्ध छन्।
- हामीसँग अहिले स्टकमा CVE-2021-33044 को 250 टुक्राहरू उपलब्ध छन्।
सुरक्षा विश्लेषकहरू विश्वास गर्छन् कि यस्ता सम्झौताहरूले सैन्य गुप्तचर सङ्कलनलाई समर्थन गर्न सक्छन्, जसमा मिसाइल सञ्चालनसँग सम्बन्धित परिचालन निगरानी र युद्ध क्षति मूल्याङ्कन (BDA) समावेश छ। केही अवस्थामा, लक्ष्यीकरण वा अनुगमन परिणामहरूमा सहयोग गर्न मिसाइल प्रक्षेपण अघि क्यामेरा घुसपैठ हुन सक्छ।
गतिज सञ्चालनको अग्रदूतको रूपमा साइबर गतिविधि
निगरानी पूर्वाधारको समन्वित लक्ष्यीकरण लामो समयदेखि चलिरहेको मूल्याङ्कनसँग मिल्दोजुल्दो छ कि इरानी साइबर सिद्धान्तले डिजिटल टोहीलाई फराकिलो सैन्य योजनामा एकीकृत गर्दछ। सम्झौता गरिएका क्यामेराहरूले वास्तविक-समय दृश्य बुद्धिमत्ता र परिस्थितिगत जागरूकता प्रदान गर्न सक्छन्।
फलस्वरूप, ज्ञात इरानी साइबर सम्पत्तिहरूसँग जोडिएको क्यामेरा पूर्वाधार विरुद्ध स्क्यानिङ गतिविधि र शोषण प्रयासहरूको निगरानी सम्भावित अनुवर्ती गतिज सञ्चालनहरूको लागि प्रारम्भिक चेतावनी संकेतको रूपमा काम गर्न सक्छ।
बढ्दो साइबर प्रतिशोध जोखिमहरू
संयुक्त राज्य अमेरिका, इजरायल र इरानबीच बढ्दो द्वन्द्वले साइबर प्रतिशोधको जोखिम बढाएको छ। बढ्दो खतराको परिदृश्यको प्रतिक्रियामा, क्यानेडियन सेन्टर फर साइबर सेक्युरिटी (CCCS) ले एक सल्लाहकार चेतावनी जारी गरेको छ कि इरानले महत्वपूर्ण पूर्वाधार विरुद्ध आफ्नो साइबर क्षमताहरूको उपयोग गर्ने र रणनीतिक स्वार्थहरूलाई अगाडि बढाउन प्रभाव वा सूचना सञ्चालन गर्ने सम्भावना छ।
यी विकासहरूले भूराजनीतिक द्वन्द्वहरूको समयमा समानान्तर युद्धभूमिको रूपमा साइबरस्पेसको विस्तारित भूमिकालाई प्रकाश पार्छन्, जहाँ जासुसी, अवरोध र गुप्तचर सङ्कलन बढ्दो रूपमा परम्परागत सैन्य कार्यहरूसँग मिल्छ।
