Исследователи Broadcom (Symantec) и Carbon Black Threat Hunter Team выявили масштабную кибероперацию, в рамках которой иранская хакерская группировка MuddyWater (Seedworm), связанная с Министерством разведки и безопасности Ирана (MOIS), закрепилась в сетях ряда организаций в США и Израиле. Под удар попали банки, аэропорты, некоммерческие организации и израильское подразделение крупной софтверной компании, работающей в том числе на оборонный и аэрокосмический секторы.
Иранская группировка MuddyWater и геополитический контекст кибератак
По данным исследователей, активная фаза кампании началась в начале февраля и усилилась после военных ударов США и Израиля по Ирану. Такая временная корреляция укладывается в текущую доктрину Ирана, рассматривающего кибероперации как инструмент политического давления и ответных действий. MuddyWater уже давно классифицируется как государственно-спонсируемая APT‑группировка, специализирующаяся на кибершпионаже и долгосрочном скрытом присутствии в сетях жертв.
Новый бэкдор Dindoor: Deno, облачные хранилища и эксфильтрация данных
В сетях американского банка, канадской НКО и израильского офиса софтверной компании аналитики обнаружили ранее неописанный бэкдор Dindoor. Он использует среду выполнения Deno для JavaScript, что делает его менее заметным для традиционных средств защиты, ориентированных на более распространённые рантаймы и фреймворки.
Dindoor обеспечивает удалённый контроль над системой, выполнение команд и подготовку инфраструктуры для кражи данных. Для эксфильтрации информации злоумышленники применяли популярную консольную утилиту Rclone, перенаправляя трафик в облачное хранилище Wasabi. Такой подход маскирует подозрительную активность под легитимное обращение к облачным сервисам и усложняет детектирование на уровне сетевого мониторинга.
Python-имплант Fakeset и связь с ранее известными вредоносами MuddyWater
В сетях американского аэропорта и ещё одной НКО исследователи обнаружили отдельный Python‑бэкдор Fakeset, скачанный с серверов американского облачного провайдера Backblaze. Его цифровой сертификат ранее использовался для подписания вредоносных программ Stagecomp и Darkcomp, которые уже связывались с MuddyWater. Хотя сами эти образцы в текущей кампании не фиксировались, повторное использование сертификатов убедительно указывает на единого оператора.
Использование легитимных облачных платформ (Backblaze, Wasabi) и подписанного кода снижает порог срабатывания средств защиты и демонстрирует рост операционной зрелости иранских операторов.
Кибератаки на IP‑камеры Hikvision и Dahua: разведка и оценка ущерба
На фоне эскалации конфликта на Ближнем Востоке компания Check Point зафиксировала активизацию проиранских и пропалестинских групп, включая Handala Hack (Void Manticore). Эта группа маршрутизирует часть операций через диапазоны IP Starlink, сканируя внешние веб‑приложения на предмет слабых паролей и ошибок конфигурации.
Другие иранские акторы, такие как Agrius (Agonizing Serpens, Marshtreader, Pink Sandstorm), сосредоточились на массовом поиске уязвимых IP‑камер и домофонных систем. Эксплуатируются, в частности, уязвимости CVE-2017-7921, CVE-2023-6895, CVE-2021-36260, CVE-2025-34067 и CVE-2021-33044, затрагивающие устройства Hikvision и Dahua. По данным Check Point, число атак на камеры резко выросло в Израиле, странах Персидского залива (ОАЭ, Катар, Бахрейн, Кувейт), а также в Ливане и на Кипре.
Исследователи оценивают, что взлом камер используется Ираном для оперативной разведки и оценки последствий ударов (Battle Damage Assessment), включая поддержку ракетных операций. Мониторинг активности по компрометации камер с определённой инфраструктуры может служить ранним индикатором возможных последующих кинетических действий.
Тактика иранских APT: учетные данные и облако вместо нулевых дней
Канадский Центр кибербезопасности (CCCS) предупреждает, что на фоне военного противостояния Иран с высокой вероятностью будет использовать свои кибервозможности для атак на критическую инфраструктуру и информационных операций против западных стран. Аналитики UltraViolet Cyber отмечают, что иранский наступательный киберпотенциал превратился в «устойчивый инструмент государственной мощи».
Современная доктрина Ирана делает акцент не на массовой эксплуатации нулевых дней, а на повторяемых, хорошо масштабируемых техниках доступа: краже учётных данных, password spraying, таргетированном фишинге и социальной инженерии (включая «honeytrap»‑операции с выстраиванием доверительных отношений). Особое внимание уделяется контролю над облачными и identity‑платформами (AD, IdP, SaaS), через которые злоумышленники получают долговременный доступ и возможность lateral movement по сети.
Как защититься от кибератак MuddyWater и других иранских группировок
Организациям, особенно в финансовом секторе, транспорте, оборонной и некоммерческой сфере, рекомендуется пересмотреть свою модель угроз с учётом активности иранских APT‑группировок и хактивистов. Ключевые меры защиты включают:
1. Усиление мониторинга и логирования. Централизованный сбор логов, поведенческий анализ, корреляция событий SIEM/SOC и отдельный контроль за трафиком к облачным хранилищам (Rclone, S3‑совместимые сервисы).
2. Минимизация экспозиции в интернет. Ограничение доступа к панелям администрирования, VPN‑шлюзам, IP‑камерам и системам OT; обязательное применение VPN и списков разрешённых IP (allowlist).
3. Жёсткая аутентификация и управление учётными записями. Внедрение устойчивой к фишингу MFA (FIDO2, аппаратные токены), регулярный аудит прав доступа, контроль сервисных аккаунтов и запрет повторного использования паролей.
4. Сегментация сети и защита OT. Разделение офисной и производственной сетей, отключение удалённого доступа к критическим системам, отдельные правила для камер видеонаблюдения и IoT‑устройств.
5. Резервное копирование и управление уязвимостями. Оффлайн‑бэкапы, регулярное тестирование восстановления, своевременное обновление прошивок камер Hikvision/Dahua и других edge‑устройств, закрытие известных CVE.
По мере усиления конфликта в регионе западным компаниям важно оставаться в состоянии повышенной готовности: активность может выйти за рамки хактивизма и перейти к разрушительным операциям против критически важных систем. Инвестиции в киберустойчивость, постоянный мониторинг и обучение персонала сегодня становятся не опцией, а необходимым условием выживания бизнеса в условиях современной кибервойны.
