Иранские хакеры взломали полмира, но забыли закрыть паролем свой сервер с данными
NewsMakerИногда для грандиозного провала хватает обычной лени.
Специалисты команды Ctrl-Alt-Intel обнаружили открытый сервер, связанный с иранской хакерской группировкой MuddyWater, и получили доступ к её инструментам, журналам операций и похищенным данным. Анализ инфраструктуры позволил проследить полный цикл кибершпионской кампании — от разведки и взлома систем до управления заражёнными устройствами и вывода информации.
Аналитики изучили виртуальный сервер в Нидерландах, на котором хранились инструменты управления заражёнными системами, скрипты, журналы атак и фрагменты данных жертв. По совокупности признаков специалисты пришли к выводу, что инфраструктура принадлежит группировке MuddyWater , известной также под названиями Static Kitten, Mango Sandstorm и Seedworm. Связь группы с Министерством разведки и безопасности Ирана ранее неоднократно упоминалась в отчётах других ИБ-компаний.
Исследование показало, что операторы активно сканировали интернет в поисках уязвимых систем. Для разведки операторы использовали Shodan, Nuclei и инструменты для перебора поддоменов. Среди целей оказались организации в Израиле, Иордании, Египте, ОАЭ, Португалии и США, включая медицинские учреждения, компании из сферы ИТ-услуг и государственные структуры.
Для получения доступа злоумышленники применяли несколько методов. Помимо массового сканирования сервисов и подбора паролей к почтовым системам Outlook Web Access и SMTP, операторы эксплуатировали ряд известных уязвимостей в корпоративном программном обеспечении. Среди них — проблемы безопасности в Fortinet FortiOS , SolarWinds N-central, Citrix NetScaler, BeyondTrust и Ivanti Endpoint Manager Mobile. Отдельно специалисты зафиксировали SQL-инъекции на двух веб-ресурсах, включая иранскую торговую платформу BaSalam.
Специалисты команды Ctrl-Alt-Intel обнаружили открытый сервер, связанный с иранской хакерской группировкой MuddyWater, и получили доступ к её инструментам, журналам операций и похищенным данным. Анализ инфраструктуры позволил проследить полный цикл кибершпионской кампании — от разведки и взлома систем до управления заражёнными устройствами и вывода информации.
Аналитики изучили виртуальный сервер в Нидерландах, на котором хранились инструменты управления заражёнными системами, скрипты, журналы атак и фрагменты данных жертв. По совокупности признаков специалисты пришли к выводу, что инфраструктура принадлежит группировке MuddyWater , известной также под названиями Static Kitten, Mango Sandstorm и Seedworm. Связь группы с Министерством разведки и безопасности Ирана ранее неоднократно упоминалась в отчётах других ИБ-компаний.
Исследование показало, что операторы активно сканировали интернет в поисках уязвимых систем. Для разведки операторы использовали Shodan, Nuclei и инструменты для перебора поддоменов. Среди целей оказались организации в Израиле, Иордании, Египте, ОАЭ, Португалии и США, включая медицинские учреждения, компании из сферы ИТ-услуг и государственные структуры.
Для получения доступа злоумышленники применяли несколько методов. Помимо массового сканирования сервисов и подбора паролей к почтовым системам Outlook Web Access и SMTP, операторы эксплуатировали ряд известных уязвимостей в корпоративном программном обеспечении. Среди них — проблемы безопасности в Fortinet FortiOS , SolarWinds N-central, Citrix NetScaler, BeyondTrust и Ivanti Endpoint Manager Mobile. Отдельно специалисты зафиксировали SQL-инъекции на двух веб-ресурсах, включая иранскую торговую платформу BaSalam.