Никаких вирусов. Просто работаем. Иранские спецслужбы превратили обычный сетевой трафик в инструмент шпионажа
NewsMakerИранские хакеры MuddyWater устроили идеальное ограбление в сетях США.
В начале февраля несколько организаций в США, Израиле и Канаде незаметно потеряли контроль над своими системами. Атака прошла почти незаметно, без шума, без типичных следов и привычных индикаторов компрометации . Уже позже стало ясно, что за операцией стоит иранская группировка MuddyWater , связанная с Министерством разведки и безопасности Ирана.
Кампания получила огласку в начале марта. Злоумышленники использовали два вредоносных инструмента – Dindoor и Fakeset. Первый представляет собой бэкдор, который работает через среду выполнения Deno. Второй – более привычный вредонос на Python. Вместе они позволяли закрепиться в системе и незаметно выкачивать данные.
Атака затронула ограниченное число целей, но выбор оказался точечным. Среди пострадавших – финансовая организация в США, аэропорт, некоммерческая структура в Канаде и израильское подразделение американской компании, работающей с оборонным сектором. Такой набор не выглядит случайным. Через финансовую организацию можно отслеживать денежные потоки и связи клиентов. Доступ к аэропорту открывает данные о перемещениях людей и логистике. А компрометация компании из оборонной сферы даёт выход на цепочки поставок и партнёров.
Внутри сетей злоумышленники действовали аккуратно. Вместо собственной инфраструктуры управления использовали легальные облачные сервисы. Для передачи данных применяли утилиту Rclone и отправляли информацию в облачное хранилище Wasabi. Для размещения вредоносных файлов задействовали сервис Backblaze B2. Такой подход помогает скрыть активность среди обычного сетевого трафика и снижает шанс обнаружения.
В начале февраля несколько организаций в США, Израиле и Канаде незаметно потеряли контроль над своими системами. Атака прошла почти незаметно, без шума, без типичных следов и привычных индикаторов компрометации . Уже позже стало ясно, что за операцией стоит иранская группировка MuddyWater , связанная с Министерством разведки и безопасности Ирана.
Кампания получила огласку в начале марта. Злоумышленники использовали два вредоносных инструмента – Dindoor и Fakeset. Первый представляет собой бэкдор, который работает через среду выполнения Deno. Второй – более привычный вредонос на Python. Вместе они позволяли закрепиться в системе и незаметно выкачивать данные.
Атака затронула ограниченное число целей, но выбор оказался точечным. Среди пострадавших – финансовая организация в США, аэропорт, некоммерческая структура в Канаде и израильское подразделение американской компании, работающей с оборонным сектором. Такой набор не выглядит случайным. Через финансовую организацию можно отслеживать денежные потоки и связи клиентов. Доступ к аэропорту открывает данные о перемещениях людей и логистике. А компрометация компании из оборонной сферы даёт выход на цепочки поставок и партнёров.
Внутри сетей злоумышленники действовали аккуратно. Вместо собственной инфраструктуры управления использовали легальные облачные сервисы. Для передачи данных применяли утилиту Rclone и отправляли информацию в облачное хранилище Wasabi. Для размещения вредоносных файлов задействовали сервис Backblaze B2. Такой подход помогает скрыть активность среди обычного сетевого трафика и снижает шанс обнаружения.