Irańscy hackerzy złamali zabezpieczenia USA. W tle banki, lotnisko i… certyfikat Donald Gay

Aktywność powiązanej z irańskim wywiadem grupy hakerskiej ponownie przyciąga uwagę analityków bezpieczeństwa. Zespół badaczy z Broadcom, rozwijający platformy bezpieczeństwa Symantec oraz VMware Carbon Black, wykrył obecność cyberprzestępców w sieciach wielu organizacji w Ameryce Północnej i na Bliskim Wschodzie. Wśród ofiar znalazły się banki, organizacje pozarządowe, firma programistyczna współpracująca z sektorem obronnym oraz infrastruktura lotniskowa.

Według badaczy działania nasiliły się po ostatnich atakach militarnych przeprowadzonych przez Stany Zjednoczone i Izrael. Eksperci wskazują na wzrost aktywności w sieciach, które wcześniej zostały już spenetrowane przez intruzów.

MuddyWater znów na radarach służb

Operacja została powiązana z grupą hakerską znaną jako MuddyWater, działającą również pod nazwami Seedworm oraz Static Kitten. Amerykańskie służby, w tym FBI  oraz Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury, wskazują tę strukturę jako element irańskiego aparatu wywiadowczego. Brytyjskie National Cyber Security Centre również łączy działania grupy z irańskim Ministerstwem Wywiadu i Bezpieczeństwa.

Aktywność MuddyWater jest obserwowana od kilku lat. Kampanie obejmują operacje szpiegowskie, infiltrację infrastruktury informatycznej oraz działania przygotowujące potencjalne cyberataki.

Według analityków nowe ślady aktywności pojawiły się po przekazaniu zespołowi bezpieczeństwa zestawu wskaźników kompromitacji. Analiza doprowadziła do wykrycia nieznanego wcześniej złośliwego oprogramowania oraz infrastruktury kontrolnej.

Nowe narzędzie hakerskie o nazwie Dindoor

W trakcie dochodzenia badacze odkryli nowy backdoor nazwany Dindoor. Złośliwe oprogramowanie zostało znalezione w sieciach organizacji z Izraela, a także w infrastrukturze amerykańskiego banku i kanadyjskiej organizacji non-profit.

Backdoor wykorzystuje środowisko uruchomieniowe Deno przeznaczone dla języków JavaScript i TypeScript. Narzędzie umożliwia zdalne wykonywanie poleceń i utrzymanie dostępu do przejętych systemów.

Według analityków część operacji obejmowała próby kradzieży danych z firmy tworzącej oprogramowanie dla przemysłu obronnego i lotniczego. Do przesyłania plików wykorzystano narzędzie Rclone oraz magazyn danych w chmurze oferowany przez Wasabi Technologies. Nie ma pewności, czy transfer danych zakończył się powodzeniem.

No i ten certyfikat...

Badacze natrafili również na drugi backdoor o nazwie Fakeset, napisany w języku Python. Oprogramowanie zostało znalezione w sieciach lotniska oraz organizacji pozarządowej w Stanach Zjednoczonych.

Szczególne zainteresowanie wzbudziły certyfikaty użyte do podpisania złośliwego kodu. Jeden z nich wystawiono na nazwisko Amy Cherne. Drugi podpisano certyfikatem wystawionym na osobę o nazwisku Donald Gay.

W środowisku bezpieczeństwa informatycznego nazwa ta natychmiast zaczęła krążyć w żartach i komentarzach. Specjaliści zwracają jednak uwagę, że powtarzalność takich podpisów bywa ważnym tropem w analizie kampanii cybernetycznych. Ten sam certyfikat pojawiał się wcześniej przy oprogramowaniu powiązanym z operacjami MuddyWater.

Infiltracja jeszcze przed wybuchem konfliktu

Według analityków szczególnie niepokojący jest moment uzyskania dostępu do sieci ofiar. Część infiltracji miała miejsce jeszcze przed eskalacją konfliktu militarnego w regionie.

Takie działania pozwalają hakerom przygotować infrastrukturę pod przyszłe operacje. Systemy mogą zostać wykorzystane do zbierania informacji wywiadowczych lub przeprowadzenia ataków w momencie eskalacji napięć geopolitycznych.

Eksperci podkreślają, że obecność intruzów w systemach bankowych, technologicznych i infrastrukturalnych tworzy scenariusz potencjalnych cyberataków wymierzonych w gospodarkę lub transport.

Cyberwojna rozszerza się na monitoring i infrastrukturę

W ostatnich miesiącach pojawiły się także doniesienia o wykorzystywaniu kamer monitoringu do działań wywiadowczych. W 2025 roku hakerzy powiązani z MuddyWater uzyskali dostęp do transmisji z kamer CCTV w Jerozolimie. Dostęp do obrazu z miasta umożliwiał obserwację potencjalnych celów.

Analitycy z Check Point Software Technologies poinformowali niedawno o setkach prób włamań do kamer monitoringu podłączonych do internetu w regionie Bliskiego Wschodu. Część prób dotyczyła również infrastruktury w innych krajach.

Eksperci obserwują wzrost liczby operacji szpiegowskich, skanowania sieci oraz ataków typu DDoS. Dotychczas nie potwierdzono dużych operacji sabotażowych, jednak analitycy wskazują na możliwość zmiany strategii w przypadku dalszej eskalacji konfliktu.