İranla əlaqəli haker qruplaşması olan MuddyWater (digər adları: Mango Sandstorm, TA450) İsraildəki müxtəlif təşkilatlara qarşı “MuddyViper” adlanan yeni, gizlənmə qabiliyyəti yüksək olan backdoor vasitəsilə hədəfli hücumlar həyata keçirib. Hücumlar həmçinin Misirdə fəaliyyət göstərən bir texnologiya şirkətini də hədəfə alıb.
Təhlükəsizlik tədqiqatçılarının məlumatına görə MuddyWater qrupunun son kampaniyası xüsusilə seçilmiş sektorlara — mühəndislik, akademiya, yerli idarəetmə, texnologiya, istehsal, nəqliyyat və kommunal xidmətlər — qarşı yönəlib. Bu hücumlar bölgədə siyasi gərginlik fonunda İran mənşəli haker fəaliyyətlərinin daha da peşəkarlaşdığını göstərən yeni tendensiyanı təsdiq edir.
Hücum zənciri: Spear-phishing və saxta proqramlar
Kampaniyada istifadə edilən əsas hücum mexanizmi spear-phishing e-mailləri olub. Bu e-maillər çox vaxt PDF sənədləri və ya uzaq idarəetmə və monitorinq (RMM — Remote Monitoring and Management) proqramlarının yüklənməsinə yönəldən linklərdən ibarət olub. Hədəf istifadəçilərdən əlavə proqram yükləmələri istənilir və məhz həmin saxta yükləmələr vasitəsilə ‘MuddyViper’ sistemə sızdırılır.
Saxta quraşdırıcılar çox zaman oyun və ya utilit kimi maskalanmış loader – “Fooder” tərəfindən idarə edilir. Fooder zərərli fəaliyyətini gizlətmək üçün bəzən klassik “Snake” oyunu işə salmış kimi görünür. Bu, həm istifadəçiləri çaşdırmaq, həm də təhlükəsizlik sistemlərinin zərərli davranışları gec aşkar etməsinə səbəb olur.
MuddyViper-in əsas xüsusiyyəti onun yalnız yaddaşda (memory-only) işləməsi və sistemdə demək olar ki, heç bir iz buraxmamasıdır. Bu üsul onu ənənəvi antivirus və EDR sistemlərinin deteksiyasından yayınmağa kömək edir.
- Backdoor-un imkanları bunlardır:
- sistem məlumatlarının toplanması
- əmrlərin icrası
- fayl yükləmə və ötürmə
- Windows giriş məlumatlarının oğurlanması
- brauzer şifrələrinin və sessiya məlumatlarının çıxarılması
Kampaniyada MuddyViper-lə yanaşı bir neçə əlavə zərərli modul da aşkar edilib: brauzer məlumat oğurlayan “CE-Notes” və “Blub”, saxta Windows təhlükəsizlik pəncərələri göstərən “LP-Notes” və VPN/RMM proqramı kimi gizlənən “VAXOne” backdoor-u.
Son araşdırmalar göstərir ki, MuddyWater artıq əvvəlki illərdəki kimi sadə texnikalarla deyil, daha strukturlaşdırılmış və təkmilləşdirilmiş metodlarla fəaliyyət göstərir. Qrupun əməliyyatları:
- daha səssiz,
- daha gizli,
- daha çox mərhələli,
analitik sistemlərdən yayınmağa fokuslanan bir forma alıb.
Bu, İranla əlaqəli kiber əməliyyatların regionda strateji məqsədlərə xidmət etdiyini və uzunmüddətli kəşfiyyat toplama fəaliyyətlərinin genişləndiyini göstərir. Niyə bu hücum təhlükəlidir?
Hədəf alınan sektorların əksəriyyəti kritik infrastruktura yaxındır. Belə hücumlar:
- həssas məlumatların sızmasına,
- əməliyyatların dayanmasına,
- ictimai xidmətlərin pozulmasına,
mühüm sənaye sahələrində sabotaj təhlükəsinə səbəb ola bilər.
Yaddaşda işləyən backdoor-lar, saxta legitim proqram imitasiyası və RMM alətlərinin sui-istifadəsi müdafiə strategiyalarını daha da çətinləşdirir.
MuddyViper kampaniyası göstərir ki, İranla əlaqəli kiber qruplaşmalar təhdid səviyyəsini artıraraq daha təkmil hücum metodlarından istifadə etməyə başlayıblar. Bu hücumlar eyni zamanda bölgədə kiber məkanın geosiyasi qarşıdurmaların yeni müstəvisi olduğunu bir daha təsdiqləyir.
