Диндоор задња врата
Истраживање обавештајних служби о претњама открило је доказе о иранској државној сајбер операцији која се успешно уградила у мреже неколико организација широм Северне Америке. Погођени ентитети укључују банке, аеродроме, непрофитне организације и израелску филијалу софтверске компаније која опслужује секторе одбране и ваздухопловства.
Кампања је приписана групи MuddyWater, познатој и као Seedworm, претњи повезаној са иранским Министарством за обавештајне послове и безбедност (MOIS). Истражитељи процењују да је операција почела почетком фебруара 2026. године. Мрежна активност повезана са кампањом појавила се убрзо након војних удара које су Сједињене Државе и Израел спровеле против Ирана, што указује на потенцијални геополитички окидач који стоји иза сајбер активности.
Посебна пажња је, изгледа, усмерена на израелску дивизију циљаног добављача софтвера. Компанија испоручује решења за више индустрија, укључујући одбрану и ваздухопловство, што је чини стратешки вредном метом за прикупљање обавештајних података и потенцијалне поремећаје.
Преглед садржаја
Диндур: Новоидентификовани задњи доор који користи Дено
Безбедносни аналитичари који су испитали упаде идентификовали су постављање раније недокументованог бекдора под називом Dindoor. Злонамерни софтвер користи Deno JavaScript runtime као део свог окружења за извршавање, релативно неуобичајену технику која може помоћи злонамерном софтверу да избегне откривање у традиционалним системима за праћење безбедности.
Напади у које су учествовали добављач софтвера, америчка банкарска институција и канадска непрофитна организација изгледа да су послужили као улазне тачке за инсталирање овог бекдора.
Такође су идентификовани докази о покушају крађе података. Истражитељи су посматрали коришћење услужног програма Rclone за пренос информација из окружења угрожене софтверске компаније у складиште у облаку које се налази на Wasabi-ју. У време анализе, остало је нејасно да ли је покушај крађе података на крају био успешан.
Факесет бекдор се појављује у додатним компромитованим мрежама
Посебна компонента злонамерног софтвера позната као Fakeset, написана у Пајтону, откривена је у мрежама једног америчког аеродрома и једне непрофитне организације. Овај бекдор је откривен из инфраструктуре повезане са Backblaze-ом, америчким добављачем услуга складиштења података и резервних копија у облаку.
Злонамерни садржај је дигитално потписан помоћу сертификата који је претходно био повезан са две друге породице злонамерног софтвера, Stagecomp и Darkcomp, које су обе историјски повезане са MuddyWater операцијама.
Истраживачи претњи су идентификовали узорке злонамерног софтвера који носе следеће потписе повезане са екосистемом MuddyWater:
- Тројанац:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Иако сами Stagecomp и Darkcomp нису откривени на компромитованим мрежама испитиваним у овој истрази, поновна употреба истог дигиталног сертификата снажно указује на умешаност истог актера претње, појачавајући приписивање Seedworm-у.
Ширење иранских сајбер капацитета и тактике социјалног инжењеринга
Ирански актери сајбер претњи значајно су побољшали своје оперативне способности последњих година. Њихов развој и алати за малвер постали су софистициранији, омогућавајући прикривенију истрајност и ефикасније латерално кретање унутар мрежа жртава.
Подједнако је значајно и ширење њихових стратегија напада усмерених на људе. Ирански оператери су демонстрирали све напредније методе социјалног инжењеринга, укључујући високо циљане кампање фишинга и дугорочне операције „медене замке“ осмишљене да изграде поверење са појединцима од интереса. Ове тактике се често користе за добијање приступа налозима или извлачење осетљивих информација.
Надзор путем рањивих камера
Паралелне истраге су откриле да друге претње повезане са Ираном активно истражују уређаје за надзор повезане на интернет. Један такав актер, Агриус, познат и под псеудонимима Агонизинг Серпенс, Марштридер и Пинк Сендсторм, примећен је како скенира рањиву инфраструктуру за видео надзор.
Истраживачи су документовали покушаје експлоатације усмерене на Hikvision камере и видео интерфонске системе путем познатих рањивости. Ове активности су се интензивирале усред текућег сукоба на Блиском истоку, посебно у Израелу и неколико земаља Персијског залива.
Кампања се фокусирала на искоришћавање рањивости које утичу на опрему за надзор компанија Дахуа и Хиквижн, укључујући:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Безбедносни аналитичари верују да такви компромиси могу подржати прикупљање војних обавештајних података, укључујући оперативни надзор и процену штете у бици (BDA) у вези са ракетним операцијама. У неким случајевима, упади камера могу се догодити пре лансирања ракета како би се помогло у циљању или праћењу исхода.
Сајбер активност као претеча кинетичких операција
Координирано циљање инфраструктуре за надзор је у складу са дугогодишњим проценама да иранска сајбер доктрина интегрише дигитално извиђање у шире војно планирање. Компромитоване камере могу да обезбеде визуелне обавештајне податке у реалном времену и свест о ситуацији.
Сходно томе, праћење активности скенирања и покушаја експлоатације инфраструктуре камера повезане са познатим иранским сајбер средствима може послужити као рани сигнал упозорења за потенцијалне накнадне кинетичке операције.
Растући ризици од сајбер одмазде
Ескалација сукоба између Сједињених Држава, Израела и Ирана повећала је ризик од сајбер одмазде. Као одговор на растуће претње, Канадски центар за сајбер безбедност (CCCS) издао је упозорење да ће Иран вероватно искористити своје сајбер капацитете против критичне инфраструктуре и спроводити операције утицаја или информисања како би унапредио стратешке интересе.
Ови развоји догађаја истичу растућу улогу сајбер простора као паралелног бојног поља током геополитичких сукоба, где шпијунажа, ометање и прикупљање обавештајних података све више прате традиционалне војне акције.
