Dindoor Backdoor
В ходе анализа угроз были обнаружены доказательства существования кибер-операции, связанной с иранским государством, которая успешно внедрилась в сети ряда организаций по всей Северной Америке. Среди пострадавших организаций — банки, аэропорты, некоммерческие организации и израильское отделение компании-разработчика программного обеспечения, обслуживающей оборонный и аэрокосмический секторы.
Приписываемая кампания группе хакеров MuddyWater, также известной как Seedworm, связана с Министерством разведки и безопасности Ирана (MOIS). Следователи считают, что операция началась в начале февраля 2026 года. Сетевая активность, связанная с кампанией, всплыла вскоре после военных ударов США и Израиля по Ирану, что указывает на потенциальный геополитический фактор, стоящий за кибердеятельностью.
Особое внимание, по всей видимости, было уделено израильскому подразделению компании-поставщика программного обеспечения, ставшей объектом атаки. Компания поставляет решения для различных отраслей, включая оборонную и аэрокосмическую, что делает ее стратегически важной целью для сбора разведывательной информации и потенциального противодействия.
Оглавление
Dindoor: недавно обнаруженный бэкдор, использующий Deno.
Специалисты по безопасности, изучавшие вторжения, выявили использование ранее не описанного бэкдора под названием Dindoor. Вредоносная программа использует среду выполнения JavaScript Deno в качестве части своей рабочей среды, что является относительно редким методом, который может помочь вредоносной программе избежать обнаружения в традиционных системах мониторинга безопасности.
По всей видимости, атаки на поставщика программного обеспечения, американское банковское учреждение и канадскую некоммерческую организацию послужили точками входа для установки этого бэкдора.
Также были обнаружены доказательства попытки утечки данных. Следователи зафиксировали использование утилиты Rclone для переноса информации из скомпрометированной среды компании-разработчика программного обеспечения в облачное хранилище, размещенное на платформе Wasabi. На момент анализа оставалось неясным, увенчалась ли попытка утечки данных успехом.
Бэкдор Fakeset обнаружен и в других скомпрометированных сетях.
В сетях американского аэропорта и другой некоммерческой организации был обнаружен отдельный компонент вредоносного ПО, известный как Fakeset, написанный на языке Python. Этот бэкдор был получен из инфраструктуры, связанной с Backblaze, американским поставщиком облачного хранилища и резервного копирования.
Вредоносная программа была подписана цифровой подписью с использованием сертификата, который ранее был связан с двумя другими семействами вредоносных программ, Stagecomp и Darkcomp, обе из которых исторически ассоциировались с деятельностью MuddyWater.
Специалисты по анализу угроз выявили образцы вредоносного ПО со следующими сигнатурами, связанными с экосистемой MuddyWater:
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Хотя сами Stagecomp и Darkcomp не были обнаружены в скомпрометированных сетях, исследованных в ходе данного расследования, повторное использование одного и того же цифрового сертификата убедительно свидетельствует о причастности одного и того же злоумышленника, что подтверждает причастность Seedworm.
Расширение кибервозможностей Ирана и тактики социальной инженерии.
Иранские киберпреступники значительно улучшили свои оперативные возможности в последние годы. Разработка вредоносного ПО и инструментов стала более изощренной, что позволяет им более скрытно внедряться и более эффективно перемещаться внутри сетей жертв.
Не менее примечательно расширение их стратегий атак, ориентированных на людей. Иранские операторы демонстрируют все более изощренные методы социальной инженерии, включая высокоцелевые фишинговые кампании и долгосрочные операции по созданию «медовых ловушек», направленные на завоевание доверия у интересующих лиц. Эта тактика часто используется для получения доступа к учетным записям или извлечения конфиденциальной информации.
Наблюдение с помощью уязвимых камер
Параллельные расследования выявили, что другие связанные с Ираном тревожные группы активно изучают подключенные к интернету устройства слежки. Одна из таких группировок, Agrius, известная также под псевдонимами Agonizing Serpens, Marshtreader и Pink Sandstorm, была замечена в поиске уязвимой инфраструктуры видеонаблюдения.
Исследователи задокументировали попытки взлома камер и видеодомофонов Hikvision с использованием известных уязвимостей. Эта деятельность активизировалась на фоне продолжающегося конфликта на Ближнем Востоке, особенно в Израиле и ряде государств Персидского залива.
В ходе кампании основное внимание уделялось использованию уязвимостей, затрагивающих оборудование для видеонаблюдения от Dahua и Hikvision, в том числе:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Аналитики в области безопасности считают, что подобные компрометации могут способствовать сбору военной разведывательной информации, включая оперативное наблюдение и оценку ущерба от боевых действий (BDA), связанную с ракетными операциями. В некоторых случаях проникновение камер видеонаблюдения может происходить до запуска ракет для содействия в наведении на цель или мониторинге результатов.
Кибердеятельность как предшественник кинетических операций
Скоординированные атаки на инфраструктуру наблюдения соответствуют давним оценкам того, что иранская кибердоктрина интегрирует цифровую разведку в более широкое военное планирование. Взломанные камеры могут предоставлять визуальную информацию в режиме реального времени и повышать ситуационную осведомленность.
Следовательно, мониторинг активности сканирования и попыток эксплуатации инфраструктуры камер, связанных с известными иранскими кибер-активами, может служить сигналом раннего предупреждения о потенциальных последующих силовых операциях.
Рост рисков кибер-ответных мер
Эскалация конфликта между Соединенными Штатами, Израилем и Ираном повысила риск кибератак. В ответ на растущие угрозы Канадский центр кибербезопасности (CCCS) выпустил предупреждение о том, что Иран, вероятно, будет использовать свои кибервозможности против критически важной инфраструктуры и проводить операции по оказанию влияния или распространению информации для продвижения стратегических интересов.
Эти события подчеркивают расширяющуюся роль киберпространства как параллельного поля боя во время геополитических конфликтов, где шпионаж, дезорганизация и сбор разведывательной информации все чаще сопровождают традиционные военные действия.
