Кибергруппировка MuddyWater, связанная с MOIS, внедрилась в сети американских компаний, используя новый бэкдор Dindoor, что вызывает опасения по поводу шпионажа и потенциальных атак. — theregister.com
Кибергруппировка из Ирана, предположительно связанная с Министерством разведки и безопасности Ирана (MOIS), с начала февраля внедрилась в сети нескольких американских компаний, включая банк, фирму-разработчика ПО и аэропорт, причем активность возросла в дни после нанесения военных ударов США и Израиля, по данным исследователей безопасности.
Команда по поиску угроз Symantec и Carbon Black сообщила изданию The Register, что обнаружила сетевую активность, а также ранее неизвестный бэкдор, после того как сторонняя организация предоставила индикаторы компрометации, связанные с MuddyWater (также известные как Seedworm, Static Kitten).
ФБР, Агентство по кибербезопасности и защите инфраструктуры США (CISA) и Национальный центр кибербезопасности Великобритании (NCSC) заявляют, что MuddyWater является частью Министерства разведки и безопасности Ирана (MOIS) и проводит киберкампании от имени иранского разведывательного ведомства примерно с 2018 года.
Один из этих индикаторов «привел нас к этому кластеру атак и позволил обнаружить дополнительное вредоносное ПО», — сообщила Бригид О’Горман, старший аналитик разведки команды Symantec и Carbon Black Threat Hunter Team, изданию The Register.
Помимо банка, аэропорта и фирмы-разработчика ПО, в число пострадавших организаций входят неправительственные организации в США и Канаде, как указано в отчете об угрозах, опубликованном исследователями безопасности в четверг. Кроме того, скомпрометированная компания-разработчик ПО поставляет свои технологии, в частности, оборонной и аэрокосмической отраслям, и имеет представительство в Израиле.
По мнению исследователей, основной целью, по-видимому, является израильская операция, и новый бэкдор, названный ими Dindoor, был обнаружен в сетях израильского объекта, а также в сетях американского банка и канадской некоммерческой организации.
Уже имея присутствие в сетях США и Израиля до начала текущих боевых действий, эта группа угроз оказывается в потенциально опасном положении для нанесения ударов
«Была также предпринята попытка эксфильтрации данных из компании-разработчика ПО с использованием Rclone в бакет облачного хранилища Wasabi», — написали специалисты по безопасности. «Неясно, увенчалась ли она успехом».
Dindoor использует Deno, безопасную среду выполнения для JavaScript и TypeScript, для исполнения. Бэкдор был подписан сертификатом, выданным на имя «Эми Черн» (Amy Cherne).
Отдельный бэкдор под названием Fakeset, написанный на Python, был обнаружен в сетях аэропорта и американской некоммерческой организации. Он был подписан сертификатами, выданными на имена «Эми Черн» (Amy Cherne) и «Дональд Гей» (Donald Gay), причем последний ранее использовался для подписи вредоносного ПО Stagecomp и Darkcomp, оба связаны с MuddyWater.
Повторное использование этих сертификатов указывает на то, что за активностью в сетях США стояла MuddyWater, заявили аналитики.
Команда Symantec и Carbon Black Threat Hunter Team не знает, как злоумышленники получили первоначальный доступ к сетям жертв. Эта конкретная группировка обычно использует фишинговые электронные письма или уязвимости в общедоступных приложениях в качестве вектора первоначального заражения, сообщила нам О’Горман.
На вопрос о целях этих вторжений, и о том, искала ли MuddyWater разведывательные данные об обороне и другую конфиденциальную интеллектуальную собственность для кражи, или же готовилась к будущим кибератакам, О’Горман ответила: «Сказать наверняка сложно».
«Кибероперации Ирана преследуют самые разные мотивы», — добавила она. «В некоторых случаях задействован сбор разведданных. В других — нарушение работы».
В мае 2025 года MuddyWater скомпрометировала сервер с прямыми видеотрансляциями с камер видеонаблюдения из Иерусалима, что позволило группировке вести наблюдение за городом в поисках потенциальных целей, а 23 июня Иран нанес по городу удар. В тот же день израильские власти сообщили, что иранские силы использовали скомпрометированные камеры видеонаблюдения для сбора разведданных в реальном времени и корректировки наведения ракет.
Хотя попытки эксфильтрации данных в этой последней кампании указывают на сбор разведданных, «даже если первоначальным мотивом не было нарушение работы, возможно, что такие группы, как Seedworm, могут переключиться в ответ на войну и начать деструктивные атаки на организации, которые они уже скомпрометировали», — сказала О’Горман.
«Уже имея присутствие в сетях США и Израиля до начала текущих боевых действий, эта группа угроз оказывается в потенциально опасном положении для нанесения ударов», — добавила она.
В среду исследователи безопасности Check Point сообщили, что они отследили «сотни» попыток эксплуатации, нацеленных на подключенные к интернету камеры наблюдения по всему Израилю и другим странам Ближнего Востока с начала войны 28 февраля.
Другие аналитики отмечали рост числа шпионских миссий, цифровых зондов и атак типа «отказ в обслуживании» (DDoS) за последнюю неделю — но на данный момент без деструктивных кибератак. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons