1 dzień temu
Od początku lutego br. irańska grupa hackerska stanowiąca część tamtejszego Ministerstwa Wywiadu i Bezpieczeństwa (MOIS) dokonywała rozpoznania w sieciach amerykańskich firm, banków, firmy programistycznej i jednego największych lotnisk szykując się do prawdopodobnego cyberataku. Mimo rozpoczęcia wojny atakowi zdołano zapobiec, ale analitycy nie są pewni czy wykryto całość działań irańskich struktur hackersko-wywiadowczych w USA.
Analitycy bezpieczeństwa z firm Symantec i Carbon Black zajmujący się analizą sieciową pod kątem wykrywania zagrożeń zauważyli podejrzaną aktywność a także nieznany wcześniej backdoor po tym, jak otrzymali wskazówki od informatora dotyczące włamań MuddyWater, które występowały także pod nazwami Seedworm i Static Kitten. CISA, czyli amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury, FBI oraz brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) mają dowody, iż MuddyWater są po prostu częścią działań Ministerstwa Wywiadu i Bezpieczeństwa (MOIS), prowadzącą rozpoznanie informatyczne i hacking na rzecz tej irańskiej struktury wywiadu, poczynając co najmniej od 2018 roku.
Jak powiedziała brytyjskiemu portalowi branżowemu The Register Brigid O’Gorman, starsza analityczka wywiadu w zespole Symantec i Carbon Black Threat Hunter Team, pozyskane informacje umożliwiły dojście „do tej grupy ataków i pozwoliły nam odkryć dodatkowe złośliwe oprogramowanie”.
Analitycy nie wyjaśnili jakie konkretne instytucje w USA były penetrowane pod kątem przyszłego ataku, stwierdzili tylko, iż chodzi o co najmniej jeden bank, jedno z największych lotnisk i firmę programistyczną. Ponadto na liście atakowanych organizacji znajdowały się organizacje pozarządowe zarówno w USA, jak i Kanadzie. Zaatakowana firma programistyczna z kolei dostarczała technologii przemysłowi lotniczemu i obronnemu i jest obecna także w Izraelu.
Jako iż nowy backdoor o nazwie Dindoor został znaleziony w sieciach o izraelskiej lokalizacji, operacja Iranu wydaje się być skierowana głównie przeciw Izraelowi, choć odkryto go także w sieciach należących do amerykańskiego banku i kanadyjskiej organizacji non-profit.
„Podjęto również próbę wykradzenia danych z firmy produkującej oprogramowanie dzięki Rclone do kontenera pamięci masowej w chmurze Wasabi. Nie jest jasne, czy to się udało” – napisali analitycy ds. bezpieczeństwa.
Jest niemal pewne, według analityków, iż prowadzone jeszcze przed rozpoczęciem wojny działania rozpoznawcze miały służyć przeprowadzeniu we adekwatnym momencie cyberataku nastawionego głównie na wywołanie jak największych zniszczeń.
Sam Dindoor wykorzystuje do uruchomienia Deno, bezpieczne środowisko uruchomieniowe JavaScript i TypeScript. Backdoor podpisano choćby certyfikatem wydanym na nazwisko „Amy Cherne”. To samo nazwisko znalazło się na certyfikacie innego backdooru opartego na Pythonie o nazwie Fakeset. Znaleziono go na lotnisku i w sieciach amerykańskiej organizacji non-profit. Poza „Amy Cherne”, jako właściciel certyfikatu pojawia się też „Donald Gay”. To nazwisko z kolei zostało już użyte do podpisywania złośliwego systemu Stagecomp i Darkcomp, obu powiązanych z MuddyWater. Dane te wskazują, iż za certyfikatami, a także za backdoorami używanymi do operacji w USA i Kanadzie stoi MuddyWater.
Na razie analitycy z Symantec i Carbon Black nie wiedzą w jaki sposób hackerzy uzyskali możliwość dostępu do sieci wytypowanych firm i organizacji. Według Brigid O’Gorman grupa ta wykorzystywała wiadomości phishingowe lub luki w zabezpieczeniach aplikacji publicznych jako początkowy wektor infekcji. Najprawdopodobniej MuddyWater najwyraźniej poszukiwał danych wywiadowczych dotyczących obrony i innych wrażliwych praw własności intelektualnej do kradzieży, ale grupa mogła także wykonywać i inne zadania.
„Irańskie cyberoperacje mają wiele motywów. W niektórych przypadkach chodzi o zbieranie informacji wywiadowczych. W innych o zakłócanie porządku” – dodała.
Irańscy hackerzy nie działają szablonowo. W maju 2025 MuddyWater włamał się na serwer zawierający transmisje z monitoringu CCTV na żywo z Jerozolimy, co ułatwiło Hamasowi i Iranowi skanowanie miasta w poszukiwaniu atrakcyjnych celów do ataku. I rzeczywiście – bezpośredni atak Iranu nastąpił 23 czerwca. Władze Izraela jeszcze tego samego dnia poinformowały, iż zainfekowane kamery bezpieczeństwa służyły Irańczykom do gromadzenia informacji i korygowania namierzania pocisków.
„Nawet jeżeli pierwotnym motywem nie było zakłócanie porządku, możliwe jest, iż grupy takie jak Seedworm w odpowiedzi na wojnę zmieniają swoje podejście i przeprowadzą destrukcyjne ataki na organizacje, które już przejęły kontrolę. Obecność w sieciach USA i Izraela jeszcze przed rozpoczęciem obecnych działań wojennych stawia tę grupę w potencjalnie niebezpiecznej sytuacji umożliwiając jej przeprowadzenie takich działań” – zauważyła O’Gorman. Istotnie, jak stwierdzają analitycy wywiadu, jeżeli pierwszym celem grupy było zbieranie danych wywiadowczych, to wojna mogła to zupełnie zmienić i zamiast penetracji narzucić działania destrukcyjne.
Najwyraźniej sposób z kamerami „spodobał się” wielu grupom hackerskim, bowiem według badaczy z Check Point od początku działań wojennych 28 lutego wykryto setki prób włamań na kamery monitoringu podłączone do Internetu w Izraelu i innych krajach Bliskiego Wschodu. Nie było dotąd destrukcyjnych celowanych cyberataków, ale zamiast nich w sieciach od początku wojny następują falowo ataki DDOS, czyli rozproszona odmowa usługi, skanowanie systemów bezpieczeństwa firm i instytucji oraz próby prowadzenia rozpoznania sieci.
Według informacji otrzymanych przez ISBiznes.pl irańska aktywność nie zamyka się na Stanach Zjednoczonych, Kanadzie i Izraelu. Irańskie służby wywiadu działają teraz w całej Europie, są także obecne w Polsce. Notowany jest także wzrost prób penetracji sieci rządowych, instytucji państwowych i firm, które można połączyć z działaniami Iranu.
